Приложение ChatGPT для Mac сохраняло разговоры в виде обычного текста
Пользователь Педро Хосе Перейра Виейто продемонстрировал на Threads уязвимость, которая скрывалась в приложении ChatGPT для Mac. Оно хранило все беседы с чат-ботом в виде обычного текста, что потенциально открывало для злоумышленников и вредоносов доступ к ним.
Журналист The Verge проверил работу уязвимости с помощью созданного Виейто приложения. Оно смогло найти все беседы с ChatGPT по клику. Они хранились в в приложении в разделе «Библиотека» > «Поддержка приложений» > com.openai.chat.
Виейто объяснил, как обнаружил дыру в безопасности. По словам энтузиаста, OpenAI предлагает приложение ChatGPT для macOS только через собственный веб-сайт, а это означает, что оно не обязано соответствовать требованиям Apple к песочнице, которые применяются к программному обеспечению для Mac App Store.
«Песочница» — это система контроля безопасности, которая запускает приложение и все его данные в изолированной среде. Таким образом, приложение не может получить доступ к другим частям системы без разрешения, так же как другие приложения не могут легко читать данные из изолированного приложения. На Mac эта система была реализована только в OS X Lion в 2011 году. Спустя годы, в macOS Mojave, Apple добавила новые уровни безопасности, чтобы приложения всегда запрашивали у пользователя разрешение на доступ к данным за пределами их «песочницы». Однако эта система остается необязательной в macOS, поскольку некоторым более сложным приложениям требуется полный доступ к диску.
В итоге OpenAI может проверять разговоры ChatGPT на предмет безопасности и применять их для обучения своих моделей.
В The Verge связались с OpenAI по поводу этой проблемы, после чего компания выпустила обновление, которое, по её заверению, шифрует чаты. «Мы стремимся предоставлять полезный пользовательский опыт, сохраняя при этом высокие стандарты безопасности по мере развития технологий», — заявила представитель OpenAI Тая Кристиансон.
Известно, что уязвимость работала минимум до 28 июня.
После загрузки обновления приложение Виейто больше не работает.
25 июня настольное приложение ChatGPT для macOS стало доступным для всех пользователей. Оно позволяет использовать сочетания клавиш Option + Пробел, чтобы использовать ИИ-помощника в электронной почте, делать снимки экрана и отправлять голосовые запросы чат-боту.
Источник: habr.com