پاورتل/ کاربران کلاب هاوس تا چندی پیش میتوانستند با استفاده از یک باگ بهصورت مخفی در رومها حضور داشته باشند و بدون اجازه در بحثها شرکت کنند.
رشد انفجارگونهی کلاب هاوس در مدت تنها یک سال پس از راهاندازی باعث شده است این شبکهی اجتماعی با انواع مشکلات امنیتی و حریم خصوصی و باگها دستوپنجه نرم کند. یکی از جدیدترین این آسیبپذیریها که بهتازگی برطرف و بهصورت عمومی افشا شده است، باگی بود که به کاربران اجازه میداد بهصورت مخفی در رومها حضور داشته باشند و بدون اجازهی مدیران (مادریتورها) در بحثها شرکت کنند.
کیتی مسورس، محقق امنیتی که اولین بار متوجه این باگ شده بود، در مصاحبه با وایرد میگوید سوء استفاده از این آسیبپذیری نیازی به دانش فنی نداشت و کافی بود یک اکانت کلاب هاوس و دو گوشی مجهز به این نرمافزار در اختیار میداشتید.
برای پیادهسازی این حمله ابتدا باید بهوسیلهی گوشی اول به یک روم ملحق و سپس وارد همان اکانت کلاب هاوس در گوشی دوم میشدید؛ این کار باعث میشد بهصورت خودکار در گوشی جدید وارد همان روم شوید. کلاب هاوس نیز بهظاهر حساب کاربری شما از اپ گوشی اول را خارج میکرد و صفحهی Log In را به نمایش میگذاشت؛ اما در عمل ارتباط کاربر با روم در گوشی اول همچنان برقرار بود.
-
ماشین اصلاح فویلی آ ا گ مدل HR 5625
inf ﷼ خرید محصول -
وازلین وازلین مدل Petroleum حجم ۱۰۰ میلی لیتر
خرید محصول -
کاپشن مردانه پاتن جامه مدل ۱۱۱۰۲۱۰۰۰۳۴۳۵۳۹ شمعی رنگ سرمه ای
۱۰,۸۷۵,۰۰۰ ﷼ خرید محصول -
جعبه بسته بندی مدل کفش زنانه کد Z4 بسته ۱۰۰ عددی
۸۸۰,۰۰۰ ﷼ انتخاب گزینهها این محصول دارای انواع مختلفی می باشد. گزینه ها ممکن است در صفحه محصول انتخاب شوند -
مچ بند هوشمند های-تک مدل HI-FT90
۴۵۰,۰۰۰ ﷼ انتخاب گزینهها این محصول دارای انواع مختلفی می باشد. گزینه ها ممکن است در صفحه محصول انتخاب شوند -
لپ تاپ ۱۵.۶ اینچی لنوو مدل Ideapad V330 – C
خرید محصول -
کرم آبرسان لورآل مدل Triple Active حجم ۵۰ میلی لیتر
خرید محصول -
دستمال سر و گردن مدل Patterned
خرید محصول
حال اگر کاربر با حساب کاربری خود در گوشی دوم از روم خارج میشد، میتوانست بدون اینکه اثری از وی در روم باقی بماند و مادریتور بتواند جلوی حضور او را بگیرد، همچنان با گوشی اول در آن حضور داشته باشد و در بحث شرکت کند.
مسورس همچنین متوجه شده بود که هکرها میتوانستند با استفاده از مکانیزمهایی با جزئیات فنی بیشتر، گونههای دیگری از همین حمله را صورت دهند؛ هرچند دلیل اصلی اهمیت این آسیبپذیری این بود که کاربران عادی نیز بهسادگی میتوانستند از آن سوء استفاده کنند.
مسورس یافتههای خود را اوایل مارس (حدود دو ماه پیش) در اختیار کلاب هاوس گذاشته بود و اگرچه پاسخ آنها سریع نبود، درنهایت پس از گذشت چند هفته، دو باگ نرمافزاری که این آسیبپذیری را ممکن میساخت، برطرف شد.
از آنجایی که مسورس پس از یافتن آسیبپذیری، برای برطرف کردن آن ۴۵ روز به استارتاپها فرصت میدهد، روز گذشته برای اولینبار وجود این باگ را بهصورت عمومی افشا کرد.