CVE-2024-40594: OpenAI ChatGPT Mac Uygulaması Sohbetleri Düz Metin Olarak Saklıyor
7 Temmuz 2024
2024-07-05 sürümünden önce macOS için yakın zamanda yayınlanan OpenAI ChatGPT uygulaması, konuşmaların aynı sistemdeki diğer uygulamalar tarafından erişilebilen bir konumda düz metin biçiminde depolanmasına izin veren ciddi bir güvenlik açığına sahiptir. Bu, Mac'te çalışan herhangi bir başka uygulamanın ChatGPT uygulamasından tam konuşma geçmişini okuyabileceği ve erişebileceği anlamına gelir.
Güvenlik açığı, ChatGPT uygulamasının, uygulamaların kendi kapsayıcılarının dışındaki verilere erişmesini kısıtlamak için tasarlanmış macOS sandbox güvenlik modelinden çıkması nedeniyle oluşur. Uygulama, sandbox'ı devre dışı bırakarak, konuşma verilerini yetkisiz erişime karşı savunmasız bırakır.
Potansiyel Etkiler
- **Hassas konuşma verileri**, parolalar, kişisel bilgiler ve gizli görüşmeler dahil olmak üzere diğer uygulamalara ifşa edilebilir
- **Konuşmalar kötü amaçlı yazılım** veya aynı Mac'te çalışan diğer kötü amaçlı yazılımlar tarafından okunabilir
- **Güvenlik açığı, bir saldırganın ChatGPT uygulamasının sürecine kod enjekte etmenin bir yolunu bulması durumunda uzaktan kod yürütülmesine izin verebilir**
- **Saklanan konuşmalara, Mac'e erişimi olan fiziksel saldırganlar tarafından erişilebilir**
Örnekler
Bu açığın nasıl istismar edilebileceğine dair birkaç örnek şöyle:
1. Aynı Mac'e yüklenen **kötü amaçlı bir uygulama**, ChatGPT görüşme veri dosyalarını tarayıp içerikleri bir saldırganın sunucusuna sızdırabilir.
2. **Bir kötü amaçlı yazılım** ChatGPT veri dosyalarındaki değişiklikleri izlemek ve bunları hemen saldırgana yüklemek için dosya sistemini kullanabilir.
Azaltma
OpenAI, macOS deneme alanını etkinleştirerek güvenlik açığını çözen ChatGPT Mac uygulamasının güncellenmiş bir sürümünü (2024-07-05 veya sonrası) yayınladı[1][2]. Kullanıcılar, konuşma verilerini korumak için mümkün olan en kısa sürede en son sürüme güncelleme yapmalıdır.
Bu arada kullanıcılar riski azaltmak için şu adımları atabilirler:
- **Hassas bilgileri** ChatGPT görüşmelerinde saklamayın
- Gizli görüşmeler için **ChatGPT Mac uygulamasını** kullanmaktan kaçının
- **Mac'in işletim sistemini ve uygulamalarını tam olarak güncel tutun**
- **Güçlü parolalar kullanın ve mümkün olduğunda iki faktörlü kimlik doğrulamayı etkinleştirin**