「基本的に、私はあなたと話し続けるけど、消えるわ」と、長年セキュリティ研究者として活躍するケイティ・ムスーリスは2月にクラブハウスのプライベートルームで私に言った。「私たちはまだ話し続けるけど、私はいなくなるの」。そして彼女のアバターは消えた。私は一人ぼっちだった。少なくとも、そう感じた。「これで終わりよ」と彼女はデジタル世界の彼方から言った。「あれがバグなの。私は幽霊なの」
音声ソーシャルネットワーク「Clubhouse」がデビューしてから1年以上が経ちました。この間、Clubhouseは爆発的な成長を遂げる一方で、セキュリティ、プライバシー、そして不正利用に関する様々な問題を抱えてきました。その中には、ムスーリス氏が発見し、現在修正済みの2つの脆弱性も含まれています。これらの脆弱性により、攻撃者はClubhouseのルームに潜伏して盗聴したり、モデレーターのコントロールを超えた議論を言葉で妨害したりすることが可能になる可能性がありました。
この脆弱性は、技術的な知識がほとんどなくても悪用される可能性があります。必要なのは、ClubhouseがインストールされたiPhone 2台とClubhouseアカウントだけです(Clubhouseは依然としてiOSでのみ利用可能です)。攻撃を仕掛けるには、まずiPhone AでClubhouseアカウントにログインし、ルームに参加または開始します。次に、iPhone BでClubhouseアカウントにログインします(これにより、iPhone Aでは自動的にログアウトされます)。そして、同じルームに参加します。問題はここから始まりました。iPhone Aにログイン画面が表示されますが、完全にログアウトされません。参加していたルームへのライブ接続は維持されたままです。iPhone Bで同じルームから「退出」すると、ユーザーは消えますが、iPhone Aではゴースト接続を維持できます。
右側の画面では、ムスーリスは消えていたが、彼女のクラブハウスの幽霊は残っていた。
スクリーンショット:リリー・ヘイ・ニューマン(Clubhouseより)ムスーリス氏はまた、ハッカーがより技術的なメカニズムを用いて、この攻撃、あるいはその派生型を実行できた可能性も発見した。しかし、それが非常に容易に実行できたという事実は、この欠陥の重大さを浮き彫りにしている。ムスーリス氏は、盗聴攻撃を「スティルガイスト」、妨害攻撃を「バンシーボミング」と呼んでいる。
この脆弱性はどのルームにも存在していたため、Clubhouseはプライバシー問題、ハラスメント、ヘイトスピーチ、その他の虐待行為への対策に取り組んでいるが、この脆弱性はClubhouseにとって最悪のシナリオだと彼女は主張する。誰が会話を盗聴しているのか分からなかったり、目に見えない人物が言いたいことを言うのを止められずルームを閉鎖せざるを得なかったりするのは、音声チャットアプリにとって悪夢のような状況だ。
ムスリス氏が3月上旬に調査結果をクラブハウスに提出した後、クラブハウスはすぐには対応せず、問題を完全に解決するまでに数週間かかったとムスリス氏は語る。最終的にクラブハウスは、調査結果に関連する2つのバグを修正したとムスリス氏に説明した。1つ目の修正では、ゴースト参加者は常にミュート状態になり、たとえルーム内にいても音が聞こえなくなり、事実上クラブハウスの煉獄に閉じ込められていた。2つ目のバグ修正では、キャッシュ表示の問題が解決され、ユーザーが古いデバイスで別のデバイスにログインした場合、より完全にログアウトされた状態になる。ムスリス氏は、これらの修正を自身で完全に検証したわけではないが、説明には一理あると述べている。
Clubhouseの広報担当者は声明で、「ケイティさんのような研究者の方々の協力に感謝します。彼らはユーザーエクスペリエンスにおけるいくつかのバグを特定し、ユーザーに影響が出る前に脆弱性を迅速に排除することができました。私たちは成長を続ける中で、セキュリティとプライバシーのコミュニティとの継続的な協力を歓迎します」と述べました。
ムスーリス氏は、Clubhousesの修正後すぐには公開せず、スタートアップ向けに設定した45日間の開示期間を厳守するため、本日調査結果を公開するまで待った。同社はサードパーティベンダーのHackerOneを通じてバグ報奨金プログラムを実施している。
カリフォルニア州消費者プライバシー法に基づくセキュリティ情報開示やデータ請求に関してClubhouseと協力した他の研究者たちは、同社の対応が遅いと述べています。同様に、Clubhouseのプレス向けメインメールボックスにメールを送信したジャーナリストは、通常、「Clubhouseチームは膨大な数のメディアリクエストを受けています。残念ながら、すべてのお問い合わせに返信することはできません」という自動返信を受け取ります。
プライバシーとデータ保護の弁護士で、元連邦取引委員会(FTC)弁護士のホイットニー・メリル氏は、ClubhouseにCCPAに基づく請求を提出しようとした際に、こうした苦労を経験したと語る。カリフォルニア州の住民は、CCPAに基づきデータ提供会社に自身の情報を請求し、45日以内に受け取る権利がある。メリル氏はClubhouseのユーザーではないものの、アドレス帳をアプリと共有するようユーザーに促すため、Clubhouseが自分のデータの一部を保有しているのではないかと強く疑っていた。数週間も返答がなかった後、メリル氏は最終的にClubhouseが保有する自分のデータを確認し、削除を要請することができたと述べている。
「スタートアップ企業がプライバシーやセキュリティの問題に配慮する適切なインセンティブがないと私は考えています。そのため、結局は10年前に他の組織と既に戦っていたのと全く同じ戦いを繰り返すことになるのです」とメリル氏は言う。「誰も教訓を学んでいないわけではありませんが、コンプライアンスを遵守したり、こうした問題に配慮したりするインセンティブがそもそも存在しないのです。」
少なくとも、もう狂ったクラブハウスの幽霊にバンシー爆弾を食らう危険はなくなりました。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- 少年、彼の脳、そして数十年にわたる医学論争
- 次のアウトドアアドベンチャーに向けて重ね着する方法
- ファルコンズ、ロキ、オタクの規範、そしてなぜ気にする必要がないのか
- ラリー・ブリリアントはパンデミックの終息を早める計画を立てている
- Facebookの「レッドチームX」は社壁の外でバグを狩る
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
