Ricercatori di sicurezza informatica hanno scoperto che i plugin di terze parti disponibili per OpenAI ChatGPT potrebbero costituire una nuova superficie di attacco per gli attori minacciosi desiderosi di ottenere accesso non autorizzato a dati sensibili. Secondo una nuova ricerca pubblicata da Salt Labs, difetti di sicurezza trovati direttamente in ChatGPT e nell’ecosistema circostante potrebbero consentire agli aggressori di installare plugin dannosi senza il consenso degli utenti e di dirottare gli account su siti web di terze parti come GitHub.
I plugin di ChatGPT, come suggerisce il nome, sono strumenti progettati per funzionare in cima al grande modello di linguaggio (LLM) con l’obiettivo di accedere a informazioni aggiornate, eseguire calcoli o accedere a servizi di terze parti. OpenAI ha in seguito introdotto anche i GPTs, che sono versioni personalizzate di ChatGPT progettate per casi d’uso specifici, riducendo nel contempo le dipendenze dai servizi di terze parti. A partire dal 19 marzo 2024, gli utenti di ChatGPT non potranno più installare nuovi plugin o creare nuove conversazioni con plugin esistenti. Uno dei difetti scoperti da Salt Labs coinvolge lo sfruttamento del flusso di lavoro di OAuth per ingannare un utente nell’installare un plugin arbitrario sfruttando il fatto che ChatGPT non convalida che l’utente abbia effettivamente avviato l’installazione del plugin. Ciò potrebbe efficacemente consentire agli attori minacciosi di intercettare e sottrarre tutti i dati condivisi dalla vittima, che potrebbero contenere informazioni proprietarie.
La società di sicurezza informatica ha anche scoperto problemi con PluginLab che potrebbero essere armati dagli attori minacciosi per condurre attacchi di sottrazione degli account senza clic, consentendo loro di prendere il controllo dell’account di un’organizzazione su siti web di terze parti come GitHub e accedere ai loro repository di codice sorgente. “[Il punto finale] ‘auth.pluginlab[.]ai/oauth/authorized’ non autentica la richiesta, il che significa che l’attaccante può inserire un altro memberId (alias la vittima) e ottenere un codice che rappresenta la vittima”, ha spiegato il ricercatore di sicurezza Aviad Carmel. “Con quel codice, può usare ChatGPT e accedere al GitHub della vittima.” Il memberId della vittima può essere ottenuto interrogando il punto finale “auth.pluginlab[.]ai/members/requestMagicEmailCode.” Non ci sono prove che i dati degli utenti siano stati compromessi utilizzando il difetto.
Inoltre, scoperto in diversi plugin, incluso Kesem AI, è un bug di manipolazione della ridirezione di OAuth che potrebbe consentire a un aggressore di rubare le credenziali dell’account associate al plugin stesso inviando un link appositamente manipolato alla vittima. Lo sviluppo arriva settimane dopo che Imperva ha dettagliato due vulnerabilità cross-site scripting (XSS) in ChatGPT che potrebbero essere concatenate per prendere il controllo di qualsiasi account. Nel dicembre 2023, il ricercatore di sicurezza Johann Rehberger ha dimostrato come gli attori malintenzionati potessero creare GPT personalizzati che possono pescare le credenziali dell’utente e trasmettere i dati rubati a un server esterno.
