کمیته رکن چهارم – کاربران کلاب هاوس تا چندی پیش میتوانستند با استفاده از یک باگ بهصورت مخفی در رومها حضور داشته باشند و بدون اجازه در بحثها شرکت کنند.
رشد انفجارگونهی کلاب هاوس در مدت تنها یک سال پس از راهاندازی باعث شده است این شبکهی اجتماعی با انواع مشکلات امنیتی و حریم خصوصی و باگها دستوپنجه نرم کند. یکی از جدیدترین این آسیبپذیریها که بهتازگی برطرف و بهصورت عمومی افشا شده است، باگی بود که به کاربران اجازه میداد بهصورت مخفی در رومها حضور داشته باشند و بدون اجازهی مدیران (مادریتورها) در بحثها شرکت کنند.
کیتی مسورس، محقق امنیتی که اولین بار متوجه این باگ شده بود، در مصاحبه با وایرد میگوید سوء استفاده از این آسیبپذیری نیازی به دانش فنی نداشت و کافی بود یک اکانت کلاب هاوس و دو گوشی مجهز به این نرمافزار در اختیار میداشتید.
برای پیادهسازی این حمله ابتدا باید بهوسیلهی گوشی اول به یک روم ملحق و سپس وارد همان اکانت کلاب هاوس در گوشی دوم میشدید؛ این کار باعث میشد بهصورت خودکار در گوشی جدید وارد همان روم شوید. کلاب هاوس نیز بهظاهر حساب کاربری شما از اپ گوشی اول را خارج میکرد و صفحهی Log In را به نمایش میگذاشت؛ اما در عمل ارتباط کاربر با روم در گوشی اول همچنان برقرار بود.
حال اگر کاربر با حساب کاربری خود در گوشی دوم از روم خارج میشد، میتوانست بدون اینکه اثری از وی در روم باقی بماند و مادریتور بتواند جلوی حضور او را بگیرد، همچنان با گوشی اول در آن حضور داشته باشد و در بحث شرکت کند.
مسورس همچنین متوجه شده بود که هکرها میتوانستند با استفاده از مکانیزمهایی با جزئیات فنی بیشتر، گونههای دیگری از همین حمله را صورت دهند؛ هرچند دلیل اصلی اهمیت این آسیبپذیری این بود که کاربران عادی نیز بهسادگی میتوانستند از آن سوء استفاده کنند.
مسورس یافتههای خود را اوایل مارس (حدود دو ماه پیش) در اختیار کلاب هاوس گذاشته بود و اگرچه پاسخ آنها سریع نبود، درنهایت پس از گذشت چند هفته، دو باگ نرمافزاری که این آسیبپذیری را ممکن میساخت، برطرف شد.
ازآنجاییکه مسورس پس از یافتن آسیبپذیری، برای برطرف کردن آن ۴۵ روز به استارتاپها فرصت میدهد، روز گذشته برای اولینبار وجود این باگ را بهصورت عمومی افشا کرد.
منبع : زومیت