Un error en la casa club dejó a la gente al acecho invisible en las habitaciones


Un error en la casa club dejó a la gente al acecho invisible en las habitaciones

Sam Whitney | Cableado | imágenes falsas

«Básicamente, voy «Para seguir hablando contigo, pero voy a ir», me dijo la investigadora de seguridad Katie Moussouris desde hace mucho tiempo en una sala privada de la casa club en febrero «. Seguiremos hablando, pero me iré. «Y luego su avatar desapareció. Estaba sola, o al menos eso parecía.» Eso es «, dijo desde el más allá digital.» Ese es el error. Soy un maldito fantasma «.

Ha pasado más de un año desde que debutó la red de audio Networkhouse. Durante este tiempo, el crecimiento explosivo se asocia con una gran cantidad de problemas de seguridad, privacidad y abuso. Esto incluye un par de vulnerabilidades recién descubiertas, descubiertas por Moussouris y ahora corregidas, que podrían haber permitido a un atacante acechar sin ser detectado en una sala de la casa club y escuchar o interrumpir una discusión que está más allá del control de un moderador.

La vulnerabilidad también podría explotarse prácticamente sin conocimientos técnicos. Todo lo que necesitaban eran dos iPhones con Clubhouse instalado y una cuenta de Clubhouse. (Clubhouse todavía solo está disponible en iOS). Para iniciar el ataque, primero inicie sesión en su cuenta de Clubhouse en el teléfono A, luego únase o inicie una sala. Luego inicie sesión en su cuenta Clubhouse en el teléfono B, que automáticamente cerrará la sesión en el teléfono A y se unirá a la misma sala. Aquí es donde comenzaron los problemas. El teléfono A muestra una pantalla de inicio de sesión, pero no cierra la sesión por completo. Aún tendrías una conexión en vivo con la habitación en la que estabas. Una vez que «abandonara» la misma habitación en el teléfono B, desaparecería, pero podría mantener su conexión fantasma en el teléfono A.

En la pantalla de la derecha, Moussouris se había ido, pero su espíritu de club se mantuvo.
Agrandar /. En la pantalla de la derecha, Moussouris se había ido, pero su espíritu de club se mantuvo.

Lily Hay Newman | Casa club

Moussouris también descubrió que un pirata informático podría haber lanzado el ataque o variaciones del mismo utilizando mecanismos más técnicos. El hecho de que se pueda hacer con tanta facilidad subraya la importancia del error. Moussouris llama al ataque de micrófonos «Stillergeist» y al ataque de interrupción «Banshee Bombing».

Dado que la vulnerabilidad existía en todas las habitaciones, ella argumenta que la vulnerabilidad fue el peor de los casos para Clubhouse, ya que la plataforma aborda problemas de privacidad, acoso, incitación al odio y otros abusos. No saber quién está escuchando una conversación o cerrando una habitación porque no puedes evitar que una persona invisible diga lo que quiere son situaciones de pesadilla para una aplicación de chat de audio.

Después de que Moussouris presentó sus resultados a la empresa a principios de marzo, Clubhouse no respondió de inmediato y tardó algunas semanas en resolver el problema por completo. Finalmente, Clubhouse Moussouris declaró que había solucionado dos errores relacionados con el hallazgo. Una solución aseguró que todos los asistentes fantasma siempre estuvieran en silencio y no pudieran escuchar ninguna habitación, incluso si estaban flotando en ella, esencialmente manteniéndolos atrapados en el purgatorio de la casa club. La segunda solución abordó un problema con el indicador de caché, lo que hacía que los usuarios de un dispositivo antiguo se desconectaran más completamente cuando iniciaban sesión en un dispositivo diferente. Moussouris dice que ella no validó completamente las correcciones por sí misma, pero que la explicación tiene sentido.

«Agradecemos la colaboración de investigadores como Katie, que nos ayudaron a identificar algunas fallas en la experiencia del usuario y nos permitió solucionarlas rápidamente para corregir las vulnerabilidades de seguridad antes de que los usuarios se vean afectados», dijo un portavoz de Clubhouse en un comunicado. «Damos la bienvenida a la colaboración continua con la comunidad de seguridad y privacidad a medida que continuamos creciendo».

Moussouris esperó para publicar su investigación hoy, en lugar de conectarse en línea inmediatamente después de las correcciones de la casa club, para cumplir con la ventana de divulgación completa de 45 días que había establecido para la puesta en marcha. La compañía tiene un programa de recompensas por errores a través del proveedor externo HackerOne.

Otros investigadores que trabajaron con Clubhouse en inteligencia de seguridad y solicitudes de datos bajo la Ley de Privacidad del Consumidor de California dicen que la compañía ha tardado en responder. De manera similar, cuando los periodistas envían correos electrónicos a la bandeja de entrada principal de la casa club, generalmente reciben una respuesta automática: “El equipo de la casa club está recibiendo una cantidad abrumadora de consultas de los medios. Lamentablemente, no podemos responder a todas las consultas. «

Whitney Merrill, abogada de protección de datos y privacidad y ex abogada de la Comisión Federal de Comercio, dice que se encontró con este dolor cada vez mayor en el camino. tratando de enviar una solicitud CCPA con casa club. La ley permite a los residentes de California solicitar su propia información a una empresa de datos y recibirla en un plazo de 45 días. Aunque Merrill no es un usuario de la casa club, sospechaba firmemente que la empresa tenía algunos de sus datos, ya que incitaba a los usuarios a compartir sus libretas de direcciones con la aplicación. Después de semanas sin respuesta, Merrill dijo que finalmente pudo ver los datos que Clubhouse tiene sobre ella y solicitar su eliminación.

«No creo que haya ningún incentivo real para que las nuevas empresas aborden los problemas de privacidad y seguridad. Por lo tanto, están librando exactamente las mismas luchas que libraron con otras organizaciones hace 10 años», dice Merrill. «Y no es que nadie esté aprendiendo la lección, pero los incentivos para cumplir o encargarse de estas cosas simplemente no existen».

Al menos ya no corre el riesgo de ser bombardeado por un fantasma disfuncional de la casa club como banshee.

Esta historia apareció originalmente en wired.com.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *