Attenzione ai club di Clubhouse, potresti ritrovarti admin senza saperlo

Era solo questione di tempo prima che l’app più chiacchierata del momento mostrasse qualche vulnerabilità. Stiamo parlando di Clubhouse. Testando ripetutamente tutte le sue funzioni come solo un vero Ninja può fare, ci siamo imbattuti in un malfunzionamento particolarmente interessante. Con un piccolo “hack” è possibile aprire un gruppo e inserire praticamente chiunque come admin, anche avendo a disposizione pochi dati. Come vedremo in seguito, con delle manovre particolari diventa impossibile, per la persona aggiunta, liberarsi di questo ruolo, che rimarrà ben in evidenza nella lista dei suoi club. Fin qui sembra solo uno scherzo innocente, ma cosa potrebbe capitare a un iscritto che si trovasse a figurare come amministratore di un club con un nome “sconveniente”, magari legato a contenuti pornografici, che inneggia alla violenza o relativo a tendenze politiche estremiste? Naturalmente, vi presentiamo la situazione scoraggiandovi fortemente dal mettere in atto queste procedure: nonostante i tentativi che ci hanno permesso di individuare la vulnerabilità del sistema, non abbiamo al momento idea di quali potrebbero essere le conseguenze e le contromisure adottate dal social media qualora questo comportamento venisse individuato. Rischiare il ban per uno scherzo non è probabilmente una mossa tanto furba. Meno ancora lo sarebbe provare a “incastrare qualcuno”, con i danni che potremmo creare a noi stessi o ad altri attraverso questo metodo. Contiamo, invece, che la nostra segnalazione sia utile soprattutto agli sviluppatori di Clubhouse, a cui abbiamo già inoltrato un avviso della nostra scoperta, per correggere in tempi celeri la funzione.

Passo 1. Crea un club su Clubhouse

Non importa con quale nome lo aprirai, quale sarà l’immagine del club o la sua descrizione. Per questo test, noi abbiamo creato un fittizio Bug Club. Come abbiamo già spiegato in questo articolo, adesso la possibilità di aprire un club è aperta a tutti: è infatti sufficiente cliccare sul simbolo “+”, in basso a sinistra nella nostra scheda profilo per avviare la procedura.

Passo 2. Genera il link per inserire nuovi membri

Cliccando sull’icona in alto a destra, quella con l’omino racchiuso in un cerchietto con il simbolo “+”, è possibile generare un link per invitare i nostri contatti a diventare membri del gruppo. Attenzione: non parliamo di follower che possono seguire le attività del club, ma di veri e propri “collaboratori” a cui si possono attribuire poteri di amministrazione, ad esempio per aprire nuove stanze. Proprio perché è previsto che i membri del gruppo siano in un numero ristretto, ogni link funziona per un massimo di 10 utenti. Non ci resta quindi che copiare il link che, in teoria, potremo inviare ai nostri contatti per invitarli a far parte del club. LEGGI ANCHE: Cos’è Clubhouse, il social audio su invito amato da VIP e Venture Capitalist  

Passo 3. Autenticati col numero di un’altra persona

Qui comincia l’hack vero e proprio, in realtà piuttosto banale. Una volta copiato il link per l’invito al gruppo, non dovremo inviarlo a nessuno ma semplicemente aprirlo nel nostro browser, che ci reindirizzerà all’app di Clubhouse in una finestra in cui verrà visualizzata la richiesta di entrare nel club fatta dal nostro account… a noi stessi! A questo punto il sistema richiede l’inserimento del numero di telefono come autenticazione per confermare l’iscrizione. Invece che inserire il nostro numero di telefono possiamo inserire qualunque contatto (a patto che sia già parte di Clubhouse, naturalmente) e cliccare su Verify membership. Il gioco è fatto! Adesso la persona di cui abbiamo inserito il numero è un membro attivo del club, come se ne avesse fatto espressa richiesta. Come ulteriore conferma, riceveremo una notifica che ci avviserà che l’utente che abbiamo coinvolto nel nostro magheggio fa ormai parte del gruppo che abbiamo creato. Nel nostro caso, Bug Club.

Passo 4. Rendi la tua vittima un amministratore del gruppo

Adesso che la persona di cui hai inserito il numero di telefono fa parte del tuo gruppo, non ti resta che renderlo amministratore. Riceverai un messaggio di conferma una volta cliccato sull’opzione “Make an admin” LEGGI ANCHE: 15+ strumenti utili per usare Clubhouse da vero PRO (e risparmiare tempo)

Passo 5. Abbandona il tuo gruppo

Questa è la ciliegina sulla torta di un piano ben congeniato: abbandonare la scena del delitto e cancellare le prove cliccando Leave club. Il malcapitato si troverà da solo nel gruppo da te creato, ne diverrà proprietario e non avrà modo di cancellarlo o abbandonarlo finché sarà l’unico admin presente. Una via d’uscita in realtà c’è, anche se eticamente non è proprio il massimo: per sfuggire alla trappola, la persona gabbata dovrà seguire il tuo esempio, ripetere questa procedura e “incastrare” qualcun altro. Almeno finché clubhouse non risolverà il bug.