macOS’taki OpenAI ChatGPT uygulamasıyla ilgili önemli güvenlik endişeleri ortaya çıktı. Uygulamanın kullanıcı görüşmelerini korumasız bir konumda düz metin olarak depoladığı ve macOS’un katı güvenlik protokollerine uyumu hakkında bir tartışmayı tetiklediği bildirildi.
Bu uygulama, çalışan herhangi bir uygulama, işlem veya kötü amaçlı yazılımın herhangi bir izin istemi olmadan bu konuşmalara veya bunların içinde saklanan verilere erişebileceği anlamına gelir.
macOS’taki OpenAI ChatGPT uygulaması korumalı değildir ve tüm kullanıcı görüşmelerini düz metin olarak aşağıdaki konumda depolar: ~/Library/Application Support/com.openai.chat/conve…{uuid}/ Bunu Threads’te Pedro José Pereira Vieito gösteriyor.
macOS Mojave 10.14’ün altı yıl önce yayınlanmasından bu yana macOS, kullanıcıların özel verilerine yetkisiz erişimi engellemek için güçlü güvenlik önlemleri uyguladı.
Bu önlemler, hassas bilgilere erişmeye çalışan herhangi bir uygulama için açık kullanıcı izni gerektirir, örneğin:
- Takvim
- İletişim
- Posta
- Fotoğraflar
- Belgeler ve Masaüstü klasörleri
- Herhangi bir üçüncü taraf uygulama sanal alanı
Pereira Vieito, orijinal sorunu nasıl ortaya çıkardığını açıkladı. “Nedenini merak ediyordum [OpenAI] uygulama sandbox korumalarını kullanmayı bıraktı ve uygulama verilerini nerede sakladıklarını kontrol etti” dedi. Araştırması, OpenAI’nin ChatGPT konuşmalarını korumasız bir konumda sakladığını ve bunları çalışan herhangi bir uygulama, işlem veya kötü amaçlı yazılım için erişilebilir hale getirdiğini ortaya koydu.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Bu yerleşik savunmalara rağmen OpenAI, macOS deneme ortamından çıkmayı ve konuşmaları korumasız bir konumda düz metin olarak depolamayı seçti.
Bu karar, kullanıcı verilerinin yetkisiz erişime karşı korunmasını amaçlayan güvenlik önlemlerini etkili bir şekilde devre dışı bırakıyor.
OpenAI, ChatGPT macOS uygulamasını Mac App Store’u atlayarak yalnızca kendi web sitesi üzerinden dağıtıyor.
Bu dağıtım yöntemi, uygulamanın Mac App Store üzerinden dağıtılan yazılımlar için zorunlu olan Apple’ın deneme alanı gerekliliklerinden kaçınmasını sağlar.
OpenAI sözcüsü Taya Christianson, Cyber Security News’e yaptığı açıklamada, “Bu sorunun farkındayız ve bu konuşmaları şifreleyen uygulamanın yeni bir sürümünü yayınladık.” dedi.
Bu ifşa kullanıcılar ve güvenlik uzmanları arasında yaygın bir endişeye yol açtı. Birçok kişi OpenAI’nin neden bu kadar kritik güvenlik protokollerini atlatıp hassas kullanıcı verilerini kötü niyetli aktörlere ifşa ettiğini sorguluyor.
Güvenlik uzmanları ve teknoloji gazetecileri durumu yakından takip ediyor ve birçoğu bu güvenlik açıklarını gidermek için derhal harekete geçilmesi çağrısında bulunuyor.
Olay, veri güvenliğinin sağlanmasında yaşanan zorlukları ve geliştiricilerin kullanıcı bilgilerini koruma sorumluluklarını gözler önüne seriyor.
Tartışmalar devam ederken, kullanıcı verilerini korumak için yerleşik güvenlik protokollerine uymanın önemi vurgulanıyor.
Hem platform sağlayıcıları hem de uygulama geliştiricileri, sağlam veri koruma önlemlerinin yerinde olduğundan emin olmak için iş birliği yapmalıdır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo