На днях в приложении ChatGPT для macOS, выпущенном OpenAI, была обнаружена серьезная уязвимость: записи чатов хранились в открытом виде. Это означало, что злоумышленники или вредоносные приложения, получив доступ к компьютеру пользователя, могли легко прочитать разговоры с ChatGPT и данные, содержащиеся в них.
Как продемонстрировал Перейра Виейто (@pvieito) в соцсети Threads, доступ к этим данным был настолько простым, что любое приложение могло получить к ним доступ и показать текст разговоров сразу после их завершения. Перейра Виейто разработал собственное приложение, которое он показал редакции The Verge, продемонстрировав, как легко можно читать чаты ChatGPT всего одним нажатием кнопки. Редакция также смогла найти файлы на компьютере и просмотреть текст разговоров, просто изменив имя файла.
После того как редакция The Verge обратилась к OpenAI с вопросом об этой проблеме, компания выпустила обновление, которое теперь шифрует все локально хранимые записи чатов.
«Мы осведомлены о данной проблеме и выпустили новую версию приложения, которая шифрует эти разговоры», — заявила представитель OpenAI Тая Кристиансон в заявлении для The Verge. «Мы стремимся обеспечивать удобный пользовательский опыт при соблюдении высоких стандартов безопасности по мере развития наших технологий».
После установки обновления ChatGPT для Mac, приложение Перейры Виейто перестало работать, и редакция The Verge не смогла видеть чаты в открытом виде.
Перейра Виейто рассказал, что обнаружил проблему, потому что был заинтересован, почему OpenAI отказалась от использования защиты песочницы приложения, и решил проверить, где хранятся данные приложения. OpenAI предлагает приложение ChatGPT для macOS только через свой собственный веб-сайт, что означает, что приложение не обязано следовать требованиям Apple по песочнице, которые применяются к программам, распространяемым через Mac App Store.
Следует отметить, что если пользователи не отказались от этого, OpenAI может просматривать их чаты с ChatGPT для "обеспечения безопасности" и обучения своих моделей.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах