O melhor pedaço da Maçã.

App do ChatGPT para Mac salvava mensagens em diretório sem proteção

App do ChatGPT no Mac

Liberado no mês passado para todos, o aplicativo do ChatGPT para Mac levantou preocupações sérias de privacidade recentemente. Isso porque, como descoberto pelo desenvolvedor Pedro José Pereira Vieito, ele armazenava todas as conversas do usuário com o chatbot em um diretório não protegido do macOS, dando a outros apps, processos e até malwares a chance de acessar o seu conteúdo.

Publicidade

Como destacado pelo 9to5Mac, a Apple usa desde o Mac OS X Lion 10.7 (de 2011) um sistema de sandbox que faz um app e todos os seus dados rodarem em um ambiente isolado. Desta forma, ele — assim como demais apps — não pode simplesmente acessar outras partes do computador do usuário.

Além disso, como apontado pelo próprio desenvolvedor, a Maçã também obriga os aplicativos desde o macOS Mojave 10.14 (de 2018) a pedirem permissão para usuário caso queiram acessar alguma informação que está fora da sua sandbox — justamente com o intuito de proteger a sua privacidade.

Apesar disso tudo, o sistema de sandboxes continua opcional, já que alguns aplicativos mais complexos podem necessitar de acesso completo ao armazenamento do Mac. O app do ChatGPT, como vocês já devem estar suspeitando, não adota esse sistema — e é aí que os problemas começam a surgir.

Publicidade

Ao verificar os arquivos de preferências e cache do app da OpenAI, disponíveis no diretório ~/Library/Application Support/com.openai.chat/conversations-{uuid}/, Vieito notou que ele armazena todas as mensagens enviadas pelo usuário em texto simples (plain text), sem nenhuma proteção.

Isso, é valido destacar, não se trata de um bug do app do ChatGPT ou coisa do tipo — a OpenAI escolheu fazê-lo não funcionar com o sistema de sandboxes, expondo informações potencialmente sensíveis dos usuários para outros apps. Para demonstrar ainda melhor essa vulnerabilidade, Vieito desenvolveu uma ferramenta que acessa essas mensagens com um clique (como é possível ver acima).

Perguntada pelo The Verge, a OpenAI soltou um update que fez o app passar a criptografar todas as mensagens enviadas ao chatbot. Taya Christianson, porta-voz da empresa, comentou o imbróglio:

Publicidade

Estamos cientes desse problema e lançamos uma nova versão do aplicativo que criptografa essas conversas. Estamos comprometidos em fornecer uma experiência útil ao usuário, mantendo nossos altos padrões de segurança à medida que nossa tecnologia evolui.

A empresa, vale notar, usa as mensagens enviadas pelo usuário para treinar o seu chatbot — a menos que você não tenha permitido isso, é claro —, então nunca foi uma boa ideia compartilhar dados sensíveis com a ferramenta. A vulnerabilidade descrita acima, porém, expunha as conversas com o ChatGPT para basicamente qualquer software de terceiros, o que é bastante grave.

Com o update, a ferramenta desenvolvida por Vieito parou de funcionar, o que indica que as mensagens não estão mais sendo armazenadas em texto simples.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Vision Hack: primeiro hackathon global do visionOS acontecerá de 13 a 15 de setembro

Próx. Post

Apple TV+ cancela docussérie “Make or Break” após duas temporadas

Posts Relacionados