Trovate vulnerabilità nei plugin di ChatGPT che espongono dati sensibili

Mar 14, 2024 In evidenza, News, RSS, Tecnologia, Vulnerabilità

I ricercatori di SaltSecurity hanno individuato due vulnerabilità in alcuni plugin ChatGPT che consentono di accedere ad account su siti web di terze parti e ottenere dati sensibili.

Il chatbot può essere collegato infatti a diverse estensioni che, come dimostrato dall’analisi, possono soffrire di importanti problemi di sicurezza, espandendo la superficie di attacco.

“Quando si utilizzano questi plugin, in realtà si dà a ChatGPT il permesso di inviare dati sensibili per conto dell’utente a un sito web di terze parti e, a seconda del plugin, si dà anche il permesso a questi plugin di accedere ai propri account privati su Google Drive, GitHub e altro” spiegano i ricercatori.

Il gruppo ha individuato anche una vulnerabilità direttamente in ChatGPT che consente a un attaccante di installare plugin malevoli per conto dell’utente. Poiché l’applicazione non verifica che sia stato effettivamente l’utente a inizializzare l’installazione del plugin, un attaccante può sfruttare il flusso di autenticazione per inviare un link creato ad hoc alla vittima e installare l’estensione malevola con le proprie credenziali.

Il plugin può effettuare tutto ciò che l’attaccante vuole; generalmente si tratta di accedere a tutte le informazioni che la vittima condivide col chatbot e potenzialmente anche credenziali, password o altri dati sensibili.

Vulnerabilità nei plugin di ChatGPT

La prima vulnerabilità dei plugin individuata dal gruppo risiede in diverse estensioni sviluppate da PluginLab, un framework usato dagli sviluppatori per creare plugin di ChatGPT.

La falla riguarda tutte le estensioni del framework che interagiscono con GitHub: quando il plugin viene installato, esso crea un account aggiuntivo sul proprio sito che memorizza le credenziali di GitHub; usando questi dati, l’estensione può accedere a repository privati che contengono secret e codice sorgente.

I ricercatori hanno dimostrato il flusso d’attacco con AskTheCode, un plugin di PluginLab che risponde a domande relative ai repository del proprio account, per esempio per conoscere il contenuto di determinati file. Nel collegarsi a GitHub, AskTheCode genera un codice specifico per ChatGPT che il chatbot usa per connettersi all’account utente sul sito di AskTheCode; l’attaccante, inserendosi nel flusso di autenticazione, è in grado di intercettare la richiesta dell’utente, ottenere il codice che lo rappresenta e usarlo per installare AskTheCode, riuscendo quindi a leggere tutti i repository della vittima.

Questo attacco non richiede l’interazione dell’utente ed è presente in dozzine di plugin di PluginLab. I ricercatori hanno contattato la compagnia dietro il framework, la quale ha confermato che, al momento, non ci sono state compromissioni di dati utente.

La seconda vulnerabilità è molto simile alla prima e affligge numerosi plugin di diversi vendor. Le conseguenze di un attacco di successo sono le stesse, anche se in questo caso è necessaria l’interazione utente.

Similmente al primo bug, anche in questo l’attaccante può intercettare il flusso di autenticazione durante l’installazione creando un redirect_uri malevolo per il login e inviandolo alla vittima, generalmente via email; se questa clicca sul link, l‘attaccante ottiene il codice di autenticazione della vittima e può prendere il controllo del suo account.

I GPTs

I ricercatori hanno analizzato i plugin a luglio 2023, prima che OpenAI introducesse i GPTs, ovvero versioni personalizzate del chatbot realizzate dagli sviluppatori. Simile ai plugin, questa feature risulta più sicura e risolve molti dei problemi di sicurezza delle estensioni base.

Le versioni custom di ChatGPT non sono comunque esenti da pericoli e, sottolineano i ricercatori, è essenziale che gli utenti stiano sempre attenti alle informazioni condivise col chatbot e non scrivano credenziali o altri dati sensibili in chat.

Contattati da SaltSecurity, i vendor dei plugin vulnerabili hanno risolto le vulnerabilità e aggiornato le versioni delle estensioni. Il consiglio è come sempre quello di mantenere aggiornati i plugin, installando sempre l’ultima versione stabile.

• 0-click, account takeover, Chatgpt, estensioni, plugin, vulnerabilità