Zu den identifizierten Schwachstellen zählt auch der potenzielle Zero-Click-Account-Takeover-Exploit
Akshaya Asokan (asokan_akshaya) • 14. März 2024
Forscher des Sicherheitsunternehmens Salt Security haben mehrere Schwachstellen in in ChatGPT verwendeten Plug-ins von Drittanbietern entdeckt, darunter einen Zero-Click-Account-Takeover-Fehler, der ausgelöst wurde, als Benutzer versuchten, das Plug-in mit ihren ChatGPT-Konten zu installieren.
Forscher von Salt Security unbedeckt drei Mängel in der OAuth-Authentifizierung, GitHub und PluginLab – KI-Plug-ins von Drittanbietern, die in ChatGPT verwendet werden. Die Fehler resultierten aus der Art und Weise, wie die Chatbot-Benutzer versuchten, über ihre ChatGPT-Konten eine Verbindung zu diesen Diensten herzustellen.
„Die Schwere und das Risiko der Schwachstellen in jedem Gen-KI-Ökosystem hängen hauptsächlich von der Plug-in-Funktionalität ab“, sagte Yaniv Balmas, Vizepräsident für Forschung bei Salt Security. „Als Beispiel haben wir uns speziell für ChatGPT entschieden und während unserer Recherche konnten wir zahlreiche Schwachstellen im ChatGPT-Ökosystem finden.“
Die Forscher sagten, dass die kritischste Schwachstelle – der Zero-Click-Account-Takeover-Fehler – auf das AskTheCode-Plug-in zurückzuführen sei, das ChatGPT-Benutzer zum Abfragen von GitHub-Repositories verwenden.
Wenn ein Benutzer die Anwendung herunterlädt, erstellt das Plug-in ein neues Konto und bittet GitHub um die Kontoberechtigung. Obwohl das Plug-in einen eindeutigen Code zur Überprüfung der Benutzeranfrage generiert, haben Forscher herausgefunden, dass Angreifer den Code abfangen könnten, indem sie die Authentifizierungsanfrage unter Verwendung einer anderen Benutzer-ID umleiten.
„Die von uns gefundenen Probleme können sehr kritisch sein. Wir haben beispielsweise gezeigt, dass ein Angreifer vollständigen Zugriff auf das gesamte GitHub-Konto des Benutzers hätte erhalten können, wenn ein Benutzer ein bestimmtes ChatGPT-Plug-in verwendet, das ChatGPT mit einem GitHub-Konto verbindet , ohne jegliche Interaktion des Benutzers“, sagte Balmas gegenüber der Information Security Media Group.
Der zweite Fehler resultierte aus einem Fehler des OAuth-Authentifizierungstokens bei der Überprüfung von Plug-in-Installationsanfragen innerhalb eines ChatGPT-Kontos. Wenn ein Benutzer versucht, ein neues Plug-in über sein ChatGPT-Konto zu installieren, leitet ihn der Chatbot zur Plug-in-Website weiter, um seine Genehmigung einzuholen.
Nach Erhalt der Genehmigung fährt ChatGPT mit der Installation des Plug-ins ohne Authentifizierung fort. Ein Angreifer kann diese Funktion ausnutzen, indem er bösartigen Code erstellt, um sich Zugriff auf seine E-Mail-Konten zu verschaffen und so möglicherweise Kontoübernahmeangriffe zu ermöglichen, so die Forscher.
„Da der Angreifer der Besitzer dieses Plug-ins ist, kann er die privaten Chat-Daten des Opfers einsehen, zu denen Anmeldeinformationen, Passwörter oder andere sensible Daten gehören können“, heißt es in dem Bericht.
Die Forscher nutzten den Authentifizierungsfehler im Charts by Kesem AI-Plug-in aus, das in ChatGPT verwendet wird, um Daten in Diagramme umzuwandeln. Das mit dem Kesem.ai-Framework entwickelte Plug-in authentifiziert einen Benutzer mithilfe von google– oder Microsoft-E-Mail-Konten und generiert einen Code für seine eindeutige Identifizierung.
Da die Anwendung die Code-Umleitungsanforderung nicht validiert, könnten Angreifer laut den Forschern Benutzeranmeldeinformationen stehlen.
Die Forscher von Salt Security haben die Unternehmen alarmiert und die Schwachstellen behoben, die erstmals im Jahr 2023 entdeckt wurden. Die Unternehmen gaben an, dass die Schwachstellen bisher zu keinem Datenverlust geführt hätten.
Der Bericht von Salt Security ist nicht das erste Mal, dass Forscher Schwachstellen in ChatGPT gefunden haben. Im Dezember 2023 führte das Unternehmen Patches für einen Image-Markdown-Injection-Fehler ein ermöglicht Datenexfiltration durch sofortige Injektion. Davor eine Schwachstelle in einer Redis-Client-Bibliothek erlaubt Einige ChatGPT-Benutzer sehen Titel aus dem Chatverlauf eines anderen aktiven Benutzers.
OpenAI reagierte nicht sofort auf eine Bitte um einen Kommentar der Information Security Media Group.