Bug Clubhouse Membiarkan Orang Mengintai di Kamar Tanpa Terlihat


“Pada dasarnya saya akan pergi untuk terus berbicara dengan Anda, tetapi saya akan menghilang, “kata peneliti keamanan lama Katie Moussouris kepada saya di ruang Clubhouse pribadi pada bulan Februari.” Kami masih akan berbicara, tetapi saya akan pergi. ” Dan kemudian avatarnya lenyap. Aku sendirian, atau setidaknya begitulah kelihatannya. “Itu saja,” katanya dari dunia digital. “Itu bugnya. Aku hantu sialan.”

Sudah lebih dari setahun sejak jaringan sosial audio Clubhouse memulai debutnya. Pada saat itu, pertumbuhan eksplosifnya datang dengan sejumlah besar masalah keamanan, privasi, dan penyalahgunaan. Itu termasuk sepasang kerentanan yang baru diungkapkan, ditemukan oleh Moussouris dan sekarang telah diperbaiki, yang dapat memungkinkan penyerang untuk mengintai dan mendengarkan di ruang Clubhouse tanpa terdeteksi, atau secara verbal mengganggu diskusi di luar kendali moderator.

Kerentanan juga dapat dieksploitasi hampir tanpa pengetahuan teknis. Yang Anda butuhkan hanyalah dua iPhone yang telah diinstal Clubhouse dan akun Clubhouse. (Clubhouse masih hanya tersedia di iOS.) Untuk meluncurkan serangan, pertama-tama Anda harus masuk ke akun Clubhouse di Ponsel A, lalu bergabung atau memulai ruang. Kemudian Anda akan masuk ke akun Clubhouse Anda di Telepon B — yang secara otomatis akan mengeluarkan Anda di Telepon A — dan bergabung dalam ruangan yang sama. Di situlah masalah dimulai. Ponsel A akan menampilkan layar masuk, tetapi tidak akan sepenuhnya mengeluarkan Anda. Anda masih memiliki koneksi langsung ke ruangan tempat Anda berada. Setelah Anda “meninggalkan” ruangan yang sama di Telepon B, Anda akan menghilang, tetapi dapat mempertahankan koneksi hantu Anda di Telepon A.

Di layar di sebelah kanan, Moussouris telah pergi, tetapi hantu Clubhouse-nya tetap ada.

Tangkapan layar: Lily Newman via Clubhouse

Moussouris juga menemukan bahwa seorang peretas bisa saja melancarkan serangan, atau variasinya, menggunakan mekanisme yang lebih teknis. Tetapi fakta bahwa hal itu dapat dilakukan dengan mudah menggarisbawahi pentingnya kesalahan tersebut. Moussouris menyebut serangan menguping “Stillergeist” dan serangan interupsi “Banshee Bombing.”

Karena kerentanan ada di ruangan mana pun, dia berpendapat bahwa kelemahan tersebut mewakili skenario terburuk untuk Clubhouse karena platform tersebut berfungsi untuk menangani masalah privasi, pelecehan, perkataan yang mendorong kebencian, dan penyalahgunaan lainnya. Tidak mengetahui siapa yang mendengarkan percakapan, atau harus menutup ruangan karena Anda tidak dapat menghentikan orang yang tidak terlihat untuk mengatakan apa pun yang mereka inginkan, adalah situasi mimpi buruk untuk aplikasi obrolan audio.

Setelah Moussouris menyerahkan temuannya ke perusahaan pada awal Maret, dia mengatakan Clubhouse tidak segera responsif dan butuh beberapa minggu untuk menyelesaikan masalah sepenuhnya. Akhirnya, Clubhouse menjelaskan kepada Moussouris bahwa itu menambal dua bug yang terkait dengan penemuan itu. Satu perbaikan memastikan setiap peserta hantu selalu dibungkam dan tidak dapat mendengar ruangan bahkan jika mereka melayang di dalamnya, pada dasarnya menjebak mereka di api penyucian Clubhouse. Perbaikan bug kedua menyelesaikan masalah tampilan cache, sehingga pengguna lebih sepenuhnya keluar di perangkat lama jika mereka masuk ke perangkat lain. Moussouris mengatakan dia belum sepenuhnya memvalidasi perbaikan itu sendiri, tetapi penjelasannya masuk akal.

Diposting oleh : SGP Prize