На днях в приложении ChatGPT для macOS, выпущенном OpenAI, была обнаружена серьезная уязвимость: записи чатов хранились в открытом виде. Это означало, что злоумышленники или вредоносные приложения, получив доступ к компьютеру пользователя, могли легко прочитать разговоры с ChatGPT и данные, содержащиеся в них.
Как продемонстрировал Перейра Виейто (@pvieito) в соцсети Threads, доступ к этим данным был настолько простым, что любое приложение могло получить к ним доступ и показать текст разговоров сразу после их завершения. Перейра Виейто разработал собственное приложение, которое он показал редакции The Verge, продемонстрировав, как легко можно читать чаты ChatGPT всего одним нажатием кнопки. Редакция также смогла найти файлы на компьютере и просмотреть текст разговоров, просто изменив имя файла.
После того как редакция The Verge обратилась к OpenAI с вопросом об этой проблеме, компания выпустила обновление, которое теперь шифрует все локально хранимые записи чатов.
«Мы осведомлены о данной проблеме и выпустили новую версию приложения, которая шифрует эти разговоры», — заявила представитель OpenAI Тая Кристиансон в заявлении для The Verge. «Мы стремимся обеспечивать удобный пользовательский опыт при соблюдении высоких стандартов безопасности по мере развития наших технологий».
После установки обновления ChatGPT для Mac, приложение Перейры Виейто перестало работать, и редакция The Verge не смогла видеть чаты в открытом виде.
Перейра Виейто рассказал, что обнаружил проблему, потому что был заинтересован, почему OpenAI отказалась от использования защиты песочницы приложения, и решил проверить, где хранятся данные приложения. OpenAI предлагает приложение ChatGPT для macOS только через свой собственный веб-сайт, что означает, что приложение не обязано следовать требованиям Apple по песочнице, которые применяются к программам, распространяемым через Mac App Store.
Следует отметить, что если пользователи не отказались от этого, OpenAI может просматривать их чаты с ChatGPT для "обеспечения безопасности" и обучения своих моделей.
Угрозы безопасности
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub
• Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств
• Microsoft удалила два популярных расширения VSCode с 9 миллионами установок из-за угроз безопасности