Bug do Clubhouse permitia ouvir uma sala de forma invisível - Vida Celular

Vida Celular

Tudo sobre os melhores celulares

Nós do Vida Celular e nossos parceiros utilizamos cookies, localStorage e outras tecnologias semelhantes para personalizar conteúdo, anúncios, recursos de mídia social, análise de tráfego e melhorar sua experiência neste site, de acordo com nossos Termos de Uso e Privacidade. Ao continuar navegando, você concorda com estas condições.

O Clubhouse tinha um bug que tornava possível um usuário permanecer em uma sala de voz de forma invisível. Para isto, porém, era necessário que o interessado em explorar a falha possuísse dois dispositivos iOS. A empresa, como se sabe, ainda está desenvolvendo sua versão para Android, que está prevista para um futuro próximo,

publicidade

Usar a vulnerabilidade era relativamente fácil: no primeiro iPhone, o usuário logava no Clubhouse e então entrava em um chat. Depois, no segundo aparelho, realizava o login, o que levava a uma falsa desconexão no primeiro celular. Após isso, entrando na mesma sala mais uma vez e saindo dela no segundo aparelho, seu avatar sumia, porém, ainda era possível se comunicar com participantes e ouvi-los. Isso gerava problemas de moderação, já que o sistema entendia que o “usuário fantasma” não estava na sala. Para resolver o problema da presença inconveniente, só encerrando e reabrindo a sala.

Quem descobriu esta falha foi a pesquisadora Katie Moussouris. O bug do participante invisível no Clubhouse está sendo revelado agora, pois a plataforma informa que já corrigiu essa falha. É comum que, por uma questão ética, analistas de segurança informem primeiramente ao serviço sobre vulnerabilidades e deem um prazo para resolução, antes que aconteça a divulgação pública. Isso como forma de evitar a exploração por pessoas mal-intencionadas.

Mudanças e outros problemas de segurança

Segundo o Clubhouse, foram feitas mudanças que retiram as permissões de fala e escuta de um participante invisível, o que teria corrigido o bug. E também, como forma de evitar bugs parecidos, a plataforma alterou o sistema de cache de forma que um novo login leva à necessidade de reconexão completa em outros dispositivos até então sincronizados.

Vale lembrar, não é a primeira vez que o Clubhouse se envolve em problemas de privacidade: em abril mesmo informações de 1,3 milhão de usuários foram vazadas. Os dados incluíam nome de usuário, foto, perfis em outras redes. Além disso, em março o app foi acusado de reter números de pessoas que nem ao menos estavam na plataforma. Isso porque o serviço exige acesso à lista telefônica dos membros atuais.

Via Ars Technica

Imagem: Ekaterina Bolovtsova/Pexels