Clubhouse, il social alternativo dove è possibile partecipare solo su inviti, e con varie funzionalità che altri social stanno cercando di copiare e con app dedicata al momento disponibile solo per iOS, ha più volte dimostrato vulnerabilità e problematiche legate alla sicurezza. A inizio aprile sono ad esempio emersi problemi che hanno permesso di diffondere i dati di circa 1,3 milioni di utenti con nomi, cognomi, foto del profilo e collegamenti alle altre applicazioni.
Nuove falle sono state segnalate da Katie Moussouris, ricercatrice specializzata in sicurezza, inclusa una vulnerabilità – ora corretta – che consentiva ad un attacker di nascondersi e ascoltare ciò che avveniva in una “stanza” Clubhouse senza essere individuati oppure irrompere in una conversazione in corso senza che il moderatore potesse avere controllo su ciò che avveniva.
La vulnerabilità in questione poteva essere essere sfruttata anche senza conoscenze tecniche. Bastavano due iPhone con l’app Clubhouse installata e lo stesso account; sul primo iPhone si eseguiva il login al proprio account Clubhouse, e si entrava nella “stanza”; si esegueva il login sul secondo iPhone, che automaticamente scollegava il primo, collegandosi con la stessa stanza. Qui il problema: il primo iPhone mostrava una schermata di login ma non consentiva di effettuare un completo logout (la connessione attiva nella stanza in questione). Lasciando la stanza sul secondo iPhone, si era scollegati ma la connessione “fantasma” era mantenuta con il primo iPhone.
Moussouris ha scoperto la possibilità di portare a termine varianti di questo “attacco” con mezzi più complessi e tecnici ma di rilievo è la possibilità di usare semplici meccanismi per nascondersi in una stanza. Il meccanismo per origliare è stato denominata “Stillergeist” e l’attacco ““Banshee Bombing”. Non era possibile sapere chi ha effettivamente lasciato una stanza o se qualcunoera davvero disconnesso, una situazione spiacevole per una chat che basa il funzionamento sui messaggi vocali e che dovrebbe permettere creare stanze in teoria private sulle quali interagire con un numero ristretto di contatti evidenti e noti, mostrando i contatti online.
Vulnerabilità a parte, su Clubhouse fioccano complottisti, diffusori di odio e le “stanze” che inneggiano nazismo e altre apologie, negazionisti del coronavirus, folli che teorizzano la vaccinazione obbligatoria come la volontà di qualcuno di controllarci, chi paventa presunti pericoli del 5G e altri che accusano i Bill Gates, Soros e altri noti personaggi di tutto e di più, luoghi di proselitismo difficili da gestire, con evidenti problemi di sicurezza per uno strumento che ambisce a poter fare incontrare tutti.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
