Izraženi su značajni sigurnosni problemi u vezi s aplikacijom OpenAI ChatGPT na macOS-u. Aplikacija navodno pohranjuje korisničke razgovore u običnom tekstu na nezaštićenoj lokaciji, što je izazvalo debatu o njenom pridržavanju strogih sigurnosnih protokola macOS-a.
Ova praksa znači da bilo koja druga pokrenuta aplikacija, proces ili zlonamjerni softver potencijalno mogu pristupiti ovim razgovorima bez ikakvog upita za dozvolu ili podataka pohranjenih u njima.
Aplikacija OpenAI ChatGPT na macOS-u nije zatvorena u sandbox i pohranjuje sve korisničke razgovore u običnom tekstu na sljedećoj lokaciji: ~/Library/Application Support/com.openai.chat/conve…{uuid}/Ovo je demonstrirao Pedro José Pereira Vieito na Threads .
Od izdavanja macOS Mojave 10.14, prije šest godina, macOS je implementirao teške sigurnosne mjere za blokiranje neovlaštenog pristupa privatnim podacima korisnika.
Ove mjere zahtijevaju izričitu korisničku dozvolu za bilo koju aplikaciju koja pokušava pristupiti osjetljivim informacijama, kao što su:
- Kalendar
- Kontakti
- Fotografije
- Dokumenti i fascikle na radnoj površini
- Bilo koja aplikacija treće strane u sandboxu
Pereira Vieito je objasnio kako je otkrio originalni problem. “Bio sam znatiželjan zašto je [OpenAI] odustao od korištenja zaštite zaštićenog okruženja aplikacije i na kraju provjerio gdje pohranjuju podatke aplikacije,” rekao je. Njegova istraga je otkrila da OpenAI pohranjuje ChatGPT razgovore na nezaštićenoj lokaciji, čineći ih dostupnim bilo kojoj pokrenutoj aplikaciji, procesu ili zlonamjernom softveru.
Uprkos ovoj ugrađenoj odbrani, OpenAI je odlučio isključiti macOS sandbox i pohraniti razgovore u običnom tekstu na nezaštićenoj lokaciji.
Ova odluka efektivno onemogućava sigurnosne mjere dizajnirane da zaštite korisničke podatke od neovlaštenog pristupa.
OpenAI distribuiše ChatGPT macOS aplikaciju isključivo putem vlastite web stranice, zaobilazeći Mac App Store.
Ova metoda distribucije omogućava aplikaciji da izbjegne Appleove zahtjeve za sandboxing, koji su obavezni za softver koji se distribuiše putem Mac App Store-a.
“Svjesni smo ovog problema i objavili smo novu verziju aplikacije koja šifruje ove razgovore”, rekla je glasnogovornica OpenAI Taya Christianson za Cyber Security News.
Otkriće je dovelo do široko rasprostranjene zabrinutosti među korisnicima i sigurnosnim stručnjacima. Mnogi se pitaju zašto bi OpenAI zaobilazio takve kritične sigurnosne protokole, potencijalno izlažući osjetljive korisničke podatke zlonamjernim hakerima.
Stručnjaci za sigurnost i tehnološki novinari pomno prate situaciju, a mnogi pozivaju na hitnu akciju za rješavanje ovih ranjivosti.
Incident naglašava tekuće izazove u osiguravanju sigurnosti podataka i odgovornosti programera u zaštiti korisničkih informacija.
Kako se debata nastavlja, ona naglašava važnost pridržavanja uspostavljenih sigurnosnih protokola za zaštitu korisničkih podataka.
I dobavljači platformi i programeri aplikacija moraju sarađivati kako bi osigurali primjenu robusnih mjera zaštite podataka.
Izvor: CyberSecurityNews