ChatGPT voor Mac sloeg gesprekken in platte tekst op
ChatGPT voor Mac was onvoldoende beveiligd
ChatGPT voor Mac bleek gesprekken in platte tekst op te slaan, waardoor ze door elke andere Mac-app gevonden en gelezen konden worden. Het probleem werd ontdekt door Pereira Vieito en werd afgelopen vrijdag opgelost door een update van de app uit te brengen. Sindsdien zijn de gegevens die je met ChatGPT deelt versleuteld. Apple heeft strikte richtlijnen voor het beschermen van gebruikersgegevens op de Mac. Ontwikkelaars hebben te maken met sandboxing. Dit houdt in dat geen enkele app toegang heeft tot de gegevens van een andere app, zonder toestemming van de gebruiker of een API. OpenAI bleek dat te omzeilen door de gesprekken toch in platte tekst op te slaan.
“We zijn ons bewust van dit probleem en hebben een nieuwe versie van de app uitgebracht die deze gesprekken versleutelt,” zei OpenAI-woordvoerder Taya Christianson in een reactie. “We doen er alles aan om een nuttige gebruikerservaring te bieden en tegelijkertijd onze hoge beveiligingsstandaarden te handhaven terwijl onze technologie evolueert.” Toch heeft ook Apple een steekje laten vallen. Wanneer een app wordt ingediend bij de Mac App Store of het notarisatieproces doorloopt, wordt beoordeeld of de app zorgvuldig met de gegevens omgaat via sandboxing. De app mag alleen toegang hebben tot eigen gegevens en niet tot tot andere gegevens op de Mac. Gebruikt een app geen sandboxing, dan moet de gebruiker expliciet toestemming geven dat data wordt gebruikt.
Hoe groot was het risico?
In dit geval konden huisgenoten op jouw Mac naar Library > Application Support > com.openai.chat gaan om te kijken welke gesprekken jij met de ChatGPT-app had gevoerd. Ook eventuele malware had toegang tot dit bestand, als is de kans dat dit is gebeurd niet zo groot. Malware-makers zijn meer geïnteresseerd in je creditcardgegevens dan in je ChatGPT-gesprekken en ze hadden maar kort de tijd (sinds 25 juni totdat de update uitkwam) om over het exploiteren het datalek na te denken.
Voorbeeld van een taak die je met ChatGPT kunt uitvoeren: feedback geven op een tekst.
Als je ChatGPT voor Mac hebt geïnstalleerd, zorg er dan voor dat deze is bijgewerkt naar de nieuwste versie. Hoewel de kwetsbaarheid slechts korte tijd bestond sinds de app werd uitgebracht, is het een kwalijke zaak dat een bedrijf als OpenAI een dergelijke fout maakt. Gelukkig zijn veel gebruikers zich ervan bewust zijn dat je in ChatGPT geen vertrouwelijke taken moet laten uitvoeren, waar privégegevens aan te pas komen.
Apple en OpenAI-samenwerking werkt anders
De ChatGPT-app voor Mac staat uiteraard los van de samenwerking die Apple heeft aangekondigd. Die is nog niet gestart en werkt op een heel andere manier: OpenAI wordt alleen ingeschakeld als een verzoek aan Apple Intelligence niet lokaal kan worden afgewikkeld en na het afwerken van het verzoek wordt de data meteen gewist. Apple benadrukt sterk dat al je gegevens veilig zijn als een AI-verzoek naar de server wordt gestuurd. Daarbij wordt ook je IP-adres verhuld, waardoor zowel Apple als eventuele partners niet weten dat een verzoek van jou afkomstig is. Toch betekent dat nog steeds niet dat je je medische dossier zomaar moet uploaden. OpenAI’s privacybeleid maakt al duidelijk dat gesprekken die je met ChatGPT voert kunnen worden gebruikt om het taalmodel te trainen. Dat zou al genoeg reden moeten zijn om voorzichtig te zijn met wat je invoert.
Hoe kon ChatGPT sandboxing omzeilen?
Sandboxing is een beveiling waarbij apps en hun gegevens in een geïsoleerde omgeving draaien. Daardoor heeft een app geen toegang tot andere delen van het systeem, tenzij je er zelf toestemming voor geeft. Andere apps kunnen ook niet zomaar gegevens van een sandboxed app lezen.
Op de iPhone en iPad zijn apps al vanaf het begin sandboxed, maar bij macOS is dat pas sinds 2011 het geval. Voor Mac-ontwikkelaars is gebruik van de sandbox optioneel, omdat complexe apps soms toegang tot gegevens buiten de sandbox nodig hebben om taken te kunnen uitvoeren. Pas sinds macOS Mojave (2018) moeten apps altijd expliciet toestemming vragen van de gebruiker om toegang te krijgen tot gegevens buiten de sandbox.
Op de developerwebsite van Apple vind je meer informatie over sandboxing:
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
Reacties: 0 reacties