اپلیکیشن

امینت

تلفن همراه

April 25, 2021
9:09 یکشنبه، 5ام اردیبهشتماه 1400
کد خبر: 123323

باگ کلاب هاوس به کاربران اجازه می‌داد به‌صورت مخفی در روم‌ها حضور داشته باشند

 
 
کاربران کلاب هاوس تا چندی پیش می‌توانستند با استفاده از یک باگ به‌صورت مخفی در روم‌ها حضور داشته باشند و بدون اجازه در بحث‌ها شرکت کنند.
 
رشد انفجارگونه‌ی کلاب هاوس در مدت تنها یک سال پس از راه‌اندازی باعث شده است این شبکه‌ی اجتماعی با انواع مشکلات امنیتی و حریم خصوصی و باگ‌ها دست‌وپنجه نرم کند. یکی از جدیدترین این آسیب‌پذیری‌ها که به‌تازگی برطرف و به‌صورت عمومی افشا شده است، باگی بود که به کاربران اجازه می‌داد به‌صورت مخفی در روم‌ها حضور داشته باشند و بدون اجازه‌ی مدیران (مادریتورها) در بحث‌ها شرکت کنند.
 
کیتی مسورس، محقق امنیتی که اولین‌ بار متوجه این باگ شده بود، در مصاحبه با وایرد می‌گوید سوء استفاده از این آسیب‌پذیری نیازی به دانش فنی نداشت و کافی بود یک اکانت کلاب هاوس و دو گوشی مجهز به این نرم‌افزار در اختیار می‌داشتید.
 
برای پیاده‌سازی این حمله ابتدا باید به‌وسیله‌ی گوشی اول به یک روم ملحق و سپس وارد همان اکانت کلاب هاوس در گوشی دوم می‌شدید؛ این کار باعث می‌شد به‌صورت خودکار در گوشی جدید وارد همان روم شوید. کلاب هاوس نیز به‌ظاهر حساب کاربری شما از اپ گوشی اول را خارج می‌کرد و صفحه‌ی Log In را به نمایش می‌گذاشت؛ اما در عمل ارتباط کاربر با روم در گوشی اول همچنان برقرار بود.
 
حال اگر کاربر با حساب کاربری خود در گوشی دوم از روم خارج می‌شد، می‌توانست بدون اینکه اثری از وی در روم باقی بماند و مادریتور بتواند جلوی حضور او را بگیرد، همچنان با گوشی اول در آن حضور داشته باشد و در بحث شرکت کند.
 
مسورس همچنین متوجه شده بود که هکرها می‌توانستند با استفاده از مکانیزم‌هایی با جزئیات فنی بیشتر، گونه‌های دیگری از همین حمله را صورت دهند؛ هرچند دلیل اصلی اهمیت این آسیب‌پذیری این بود که کاربران عادی نیز به‌سادگی می‌توانستند از آن سوء استفاده کنند.
 
مسورس یافته‌های خود را اوایل مارس (حدود دو ماه پیش) در اختیار کلاب هاوس گذاشته بود و اگرچه پاسخ آن‌ها سریع نبود، درنهایت پس از گذشت چند هفته، دو باگ نرم‌افزاری که این آسیب‌پذیری را ممکن می‌ساخت، برطرف شد.
 
ازآنجایی‌که مسورس پس از یافتن آسیب‌پذیری، برای برطرف کردن آن ۴۵ روز به استارتاپ‌ها فرصت می‌دهد، روز گذشته برای اولین‌بار وجود این باگ را به‌صورت عمومی افشا کرد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.