Sam Whitney | Cableado | imágenes falsas
“Básicamente, voy seguir hablando contigo, pero voy a desaparecer “, me dijo la investigadora de seguridad Katie Moussouris desde hace mucho tiempo en una sala privada de la casa club en febrero.” Seguiremos hablando, pero me iré “. Y luego su avatar se desvaneció. Estaba sola, o al menos eso es lo que parecía. “Eso es”, dijo desde el más allá digital. “Ese es el error. Soy un maldito fantasma”.
Ha pasado más de un año desde que debutó la red social de audio Clubhouse. En ese tiempo, es crecimiento explosivo ha venido con una panoplia de problemas de seguridad, privacidad y abuso. Eso incluye un recién revelado par de vulnerabilidades, descubiertas por Moussouris y ahora corregidas, que podrían haber permitido que un atacante acechara y escuchara en una sala del Clubhouse sin ser detectado o interrumpir verbalmente una discusión más allá del control del moderador.
La vulnerabilidad también podría explotarse prácticamente sin conocimientos técnicos. Todo lo que necesitaba eran dos iPhones que tuvieran Clubhouse instalado y una cuenta de Clubhouse. (Clubhouse todavía solo está disponible en iOS). Para lanzar el ataque, primero debe iniciar sesión en su cuenta de Clubhouse en el teléfono A y luego unirse o iniciar una sala. Luego, iniciaría sesión en su cuenta Clubhouse en el teléfo no B, que automáticamente cerraría la sesión en el teléfono A, y se uniría a la misma sala. Ahí es donde empezaron los problemas. El teléfono A mostraría una pantalla de inicio de sesión, pero no cerraría la sesión por completo. Aún tendrías una conexión en vivo con la habitación en la que estabas. Una vez que “salgas” de esa misma habitación en el teléfono B, desaparecerás pero podrías mantener tu conexión fantasma en el teléfono A.
Lily Hay Newman | Casa club
Moussouris también descubrió que un pirata informático podría haber lanzado el ataque, o variaciones del mismo, utilizando mecanismos más técnicos. Pero el hecho de que pudiera hacerse tan fácilmente subraya la importancia del defecto. Moussouris llama al ataque de escucha “Stillergeist” y al ataque de interrupción “Bombardeo en banshee”.
Dado que la vulnerabilidad existía para cualquier habitación, ella argumenta que la debilidad representaba el peor de los casos para Clubhouse, ya que la plataforma trabaja para lidiar con problemas de privacidad, acoso, incitación al odio y otros abusos. No saber quién está escuchando una conversación, o tener que cerrar una habitación porque no puedes evitar que una persona invisible diga lo que quiera, son situaciones de pesadilla para una aplicación de chat de audio.
Después de que Moussouris presentó sus hallazgos a la compañía a principios de marzo, dice que Clubhouse no respondió de inmediato y que tomó algunas semanas resolver el problema por completo. En última instancia, Clubhouse le explicó a Moussouris que reparó dos errores relacionados con el hallazgo. Una solución aseguró que los participantes fantasmas siempre estuvieran silenciados y no pudieran escuchar una habitación incluso si estaban flotando en ella, esencialmente atrapándolos en el purgatorio de la Casa Club. La segunda corrección de errores resolvió un problema de visualización de la caché, por lo que los usuarios cierran más la sesión en un dispositivo antiguo si inician sesión en otro. Moussouris dice que ella no ha validado completamente las soluciones, pero que la explicación tiene sentido.
“Agradecemos la colaboración de investigadores como Katie, que nos ayudaron a identificar algunos errores en la experiencia del usuario y nos permitió abordarlos rápidamente para eliminar cualquier vulnerabilidad antes de que los usuarios se vieran afectados”, dijo un portavoz de Clubhouse en un comunicado. “Damos la bienvenida a la colaboración continua con la comunidad de seguridad y privacidad a medida que continuamos creciendo”.
Moussouris esperó para publicar su investigación hoy en lugar de publicarla inmediatamente después de las correcciones de Clubhouses, para honrar la ventana de divulgación completa de 45 días que estableció para la puesta en marcha. La empresa tiene un programa de recompensas por errores a través del proveedor externo HackerOne.
Otros investigadores que han trabajado con Clubhouse en divulgaciones de seguridad y solicitudes de datos a través de la Ley de Privacidad del Consumidor de California dicen que la empresa ha tardado en responder. De manera similar, los periodistas que envían correos electrónicos a la bandeja de entrada de prensa principal de Clubhouse generalmente reciben una respuesta automática: “El equipo de Clubhouse está recibiendo una cantidad abrumadora de solicitudes de medios. Lamentablemente, no podemos responder a todas las consultas “.
Whitney Merrill, abogada de protección de datos y privacidad y ex abogada de la Comisión Federal de Comercio, dice que se encontró con estos dolores de crecimiento mientras tratando de presentar una solicitud CCPA con Casa Club. La Ley da derecho Los residentes de California pueden solicitar su propia información a una empresa de datos y recibirla en un plazo de 45 días. Aunque Merrill no es un usuario de Clubhouse, sospechaba firmemente que la empresa tenía algunos de sus datos, porque les pide a los usuarios que compartan sus libretas de direcciones con la aplicación. Después de semanas sin respuesta, Merrill dice que finalmente pudo ver los datos que Clubhouse tiene sobre ella y solicitar su eliminación.
“No creo que existan los incentivos adecuados para que las startups se preocupen por los problemas de privacidad y seguridad, por lo que terminas luchando exactamente en las mismas batallas que ya se libraron con otras organizaciones hace 10 años”, dice Merrill. “Y no es que nadie esté aprendiendo la lección, pero los incentivos para cumplir o preocuparse por estas cosas simplemente no existen”.
Al menos ya no corres el riesgo de ser bombardeado en Banshee por un fantasma trastornado del Clubhouse.
Esta historia apareció originalmente en wired.com.