“基本上,我要去“我不想继续跟你说话,但我要消失了,”2月份,长期的安全研究员凯蒂·穆萨里斯(Katie Moussouris)在俱乐部的一间私人房间里告诉我。“我们还会继续交谈,但我会离开。”然后她的头像消失了。我是一个人,至少看起来是这样。“就是这样,”她在数字世界里说。“这是错误。我他妈是个鬼。”
自音频社交网络俱乐部举行以来已经超过一年。那时,它爆炸性的生长带着全套的安全、隐私和滥用问题。,其中包括新披露这两个漏洞是由Moussouris发现的,现在已经修复了,它可以让攻击者潜伏在俱乐部房间里偷听,而不被发现,或者用语言打断主持人无法控制的讨论。
漏洞也可以利用几乎没有技术知识。所有所需的是两个拥有俱乐部房屋的iPhone和一个俱乐部账户。(Clubhouse仍然只在iOS上提供)要启动攻击,您将首先登录手机A上的Clubhouse帐户,然后加入或启动房间。然后,您将登录手机B上的Clubhouse帐户 - 这将在手机A - 并加入同一个房间。这就是问题开始的地方。手机A会显示登录屏幕,但不会完全注销。你仍然有与你所处的房间的直播连接。一旦你“离开”电话B上的同一个房间,你会消失,但可以在手机A上保持你的幽灵连接。
Moussouris还发现,使用更多技术机制,黑客可能会发起攻击,或对其的变化。但是,可以这样做的事实很容易强调缺陷的重要性。Moussouris称窃听攻击“斯蒂格氏派”和中断攻击“Banshee轰炸”。
由于任何房间存在漏洞,她认为,由于平台处理隐私问题,骚扰,仇恨言论和其他滥用,因此弱点代表了俱乐部房间的最坏情况。不知道谁在谈话中倾听,或者必须关闭房间,因为你不能阻止一个看不见的人来说,是一个他们想要的任何东西,都是音频聊天应用程序的噩梦情况。
在Mousouris于三月初向公司提交了调查结果之后,她说,俱乐部屋不会立即回应,并且需要几个星期的时间来解决这个问题。最终,俱乐部会议向Moussouris解释为它修补了与查找相关的两个错误。一个修复使任何鬼参与者总是静静,即使他们在其中徘徊,也无法听到一个房间,基本上陷入俱乐部炼狱中。第二个错误修复解决了缓存显示问题,因此如果用户登录另一个,用户更全面地记录在旧设备上。Moussouris说,她没有完全验证自己的修复,但解释是有道理的。Clubhouse的一名发言人在一份声明中说:“我们感谢像凯蒂这样的研究人员的合作,他们帮助我们发现了用户体验中的一些漏洞,并允许我们在任何用户受到影响之前迅速解决这些漏洞。”“随着我们的不断发展,我们欢迎与安全和隐私界继续合作。”
Moussouris今天等待发布她的研究,而不是在Clubhouses修复后立即居住,以纪念她为启动设置的完整45天披露窗口。公司有一个Bug Bounty程序通过第三方供应商Hackerone。
通过加利福尼亚州的安全披露和数据请求合作的其他研究人员通过加州消费者隐私法案表示,该公司的回应缓慢。同样,记者通过电子邮件发送主俱乐部新闻收件箱通常会自动收到:“Clubhouse团队正在收到压倒性的媒体请求。不幸的是,我们无法回应所有询问。“
Whitney Merrill,隐私和数据保护律师和前联邦贸易委员会律师表示,她遇到了这些成长的痛苦尝试提交CCPA请求会所。法律使加州居民要求从数据公司提供自己的信息并在45天内收到。尽管Merrill不是一个俱乐部用户,但她强烈怀疑该公司举办了一些数据,因为它促使用户与应用程序分享他们的地址簿。Merrill表示,Merrill表示,她最终能够看到数据俱乐部持有她并要求删除。
“我不认为有初期的激励措施来关心隐私和安全问题,所以你最终会在10年前与其他组织的完全相同的战斗争斗,”美林说。“这并不是没有人在学习他们的课程,而是符合要求或关心这些事情的激励措施并不是没有。”
至少你不再冒着被炸毁的俱乐部鬼魂轰炸的障碍的风险。
这个故事最初出现在Wired.com.。
20读者评论
打电话给金融机构:“可以录制此呼叫。”
等等。
简而言之,永远不要认为隐私的错觉是真实的。
我提醒了80年代或90年代的流行副经如世的未来科幻小说,其中主角的助理国家关于一个秘密会议地点和安排:“这是我能负担得起的最好的隐私。”如果我能记住这个名字会更好。
漏洞只是武器化的漏洞。
我想我将继续避免这种情况。
漏洞只是武器化的漏洞。
是的,但这次没有安全威胁,我知道这就是漏洞的定义。最糟糕的情况可能是有人躲在房间里破坏它
他们的会话/登录管理和身份验证似乎很薄,这可以与其他错误链接以使其成为安全问题。
漏洞是错误......
除非他们是故意的。
漏洞只是武器化的漏洞。
是的,但这次没有安全威胁,我知道这就是漏洞的定义。最糟糕的情况可能是有人躲在房间里破坏它
当我们参观天安门广场时,导游每次停下来讲话,旁边站着一个看起来像游客的人就会走过来听。在我第二次注意到这一点后,我看了看,那个人会听下一组的演讲,而另一个人在听我们组的演讲。反复冲洗。
你觉得这一刻,中国没有积极使用这个“功能”吗?
但我想这太长了,太好了?
漏洞只是武器化的漏洞。
是的,但这次没有安全威胁,我知道这就是漏洞的定义。最糟糕的情况可能是有人躲在房间里破坏它
当我们参观天安门广场时,导游每次停下来讲话,旁边站着一个看起来像游客的人就会走过来听。在我第二次注意到这一点后,我看了看,那个人会听下一组的演讲,而另一个人在听我们组的演讲。反复冲洗。
你觉得这一刻,中国没有积极使用这个“功能”吗?
我不确定这个错误(自身)如何帮助中国或任何其他小组进行间谍活动。您仍然需要合法地访问房间,以便能够变得隐形。所以他们需要通过假装成为别人(如旅游者)来吓唬自己进入房间
像文章说明一样,这个错误是隐私和骚扰的更大问题。让我们说一个集团聊天正在蜿蜒而来,你只剩下一个人。您感到舒适地参与私人谈话,但秘密的其他人仍在倾听。
或者有人只是想当混蛋而这个虫子能阻止他们被赶出去。
正如其他人所提到的,这个bug可能会极大地放大其他问题。如果有可能通过其他方式进入未经邀请的组,攻击者可以利用这个漏洞保持隐藏。这会引起你对间谍活动的担忧。
但我想这太长了,太好了?
我猜这是长形的物品(“好”的物品 - 我曾经订阅过的纸张)没有与相同的术语无能为一。也许员工作家与招待会作家呢?
只邀请精英人士。只要属于你,你就会成为最好的。
喝脱脂牛奶,活得更长。
但我想这太长了,太好了?
将DEAD Google链接存在于该主题上的ARS。我猜ars把它放了然后把它拿下来。我偷看了有线文章。我注意到的第一件事是,这篇文章在麦当劳完全清楚地清楚地对冰淇淋机制造商的安排完全满意。然而,这篇文章的整点是麦当劳是如何受害的。
很难想象大M,因为是一个更小的供应商的知识受害者。显然很大的m不认为自己。文章的整个前提似乎不存在。我很乐意在那个点读它。
适用于我在这里找到的大多数有线文章
但我想这太长了,太好了?
将DEAD Google链接存在于该主题上的ARS。我猜ars把它放了然后把它拿下来。我偷看了有线文章。我注意到的第一件事是,这篇文章在麦当劳完全清楚地清楚地对冰淇淋机制造商的安排完全满意。然而,这篇文章的整点是麦当劳是如何受害的。
很难想象大M,因为是一个更小的供应商的知识受害者。显然很大的m不认为自己。文章的整个前提似乎不存在。我很乐意在那个点读它。
如果我没记错的话,重点是那个装进冰淇淋机的Pi装置的小制造商是泰勒的受害者和麦当劳,谁勾结,基本上,老鼠操他妈的。重点是不是麦当劳的公司正在受害。
你必须登录或者创建一个帐户置评。