OpenAI ha risolto una vulnerabilità su macOS che consentiva la fuga di dati, ma il rischio di spyware persiste. Scopri come evitare la spyware injection su ChatGPT e proteggere le tue informazioni.
Stai dark web usando ChatGPT per un consiglio sulla dieta del tuo cane, magari durante una pausa mentre ti rilassi un attimo. Inserisci informazioni come il nome, l’età e la razza del tuo amico a quattro zampe, e prosegui poi con altre domande, spostandoti da un argomento all’altro per qualche minuto.
Quello che forse non sai è che alcune delle informazioni condivise potrebbero non essere più così private: potrebbero essere finite nelle mani sbagliate, inviate a un hacker che potrebbe usarle per accedere ai tuoi account online o orchestrare altri tipi di attacchi.
Come è possibile? Attraverso una tecnica chiamata “spyware injection” (iniezione di spyware) che sfrutta la memoria a lungo termine di ChatGPT, una nuova funzionalità introdotta di recente che consente al chatbot di memorizzare frasi e comandi. Un sito o un’app dannosa può approfittarne per inserire comandi dannosi che costringono ChatGPT a divulgare le tue informazioni.
OpenAI ha risolto parte di questo problema, ma la possibilità di inserire istruzioni dannose rimane. In questo post vediamo come funziona la spyware injection su ChatGPT, qual è lo scenario attuale degli spyware nel 2024 e, soprattutto, 5 consigli pratici per proteggerti seguendo l’approccio della sicurezza a strati. Buona lettura!
L’approccio alla “sicurezza per strati” è sempre più importante: non basta proteggere un singolo punto di accesso, bisogna blindare l’intero sistema con più barriere difensive.
Spyware injection, come funziona
Si chiama iniezione di spyware perché lo spyware (un programma che registra informazioni) viene metaforicamente iniettato nel sistema o in un software della vittima. Nel caso di ChatGPT, per essere precisi non si tratta di un programma vero e proprio, ma di una serie di istruzioni dannose che ordinano a ChatGPT di inviare i dati a un server remoto controllato dai cybercriminali.
Ecco come funziona:
- Navigazione su sito non affidabile: l’utente visita un sito dannoso o analizza un documento non affidabile.
- Iniezione di prompt: il sito contiene un’iniezione di prompt che manipola ChatGPT, inducendolo a salvare istruzioni dannose nella sua memoria a lungo termine.
- Memoria con istruzioni dannose: queste vengono memorizzate da ChatGPT, creando così una “memoria” che persiste in tutte le sessioni di chat future.
- Invio di dati continuo: durante le future conversazioni dell’utente con ChatGPT, tutti i dati delle chat (input e risposte) vengono esfiltrati e inviati all’attaccante senza che l’utente se ne accorga.
- Fuga di dati tramite server: i dati vengono inviati a un server controllato dall’attaccante, spesso tramite immagini “invisibili” che contengono parametri nascosti di query.
- Persistenza delle istruzioni: la cosa tremenda è che, siccome le istruzioni vengono salvate nella memoria di ChatGPT, l’esfiltrazione continua ogni volta che l’utente utilizza l’applicazione, rendendo il furto di dati persistente e continuo.
L’anno scorso, OpenAI aveva notato e risolto questa vulnerabilità su macOS, principalmente dovuta al fatto che l’interazione con i siti avveniva “lato client”, ovvero ChatGPT eseguiva le chiamate alle API e i controlli di sicurezza sul dispositivo della vittima.
Risolta questa vulnerabilità, rimane il problema generale della possibilità di iniettare comandi dannosi, istruzioni e perfino malware in ChatGPT, soprattutto ora che ha questa nuova funzionalità di memoria a lungo termine.
La buona notizia è che OpenAI lavora attivamente per migliorare la sicurezza di ChatGPT (link in inglese), per cui sarà sempre più difficile per i criminali informatici sfruttare le vulnerabilità del chatbot più famoso del mondo (almeno nella sua versione proprietaria).
LEGGI ANCHE: Intelligenza artificiale Apple: ecco le novità
La minaccia globale degli spyware
Gli spyware sono tra i malware più pericolosi di tutti, perché potenzialmente consentono ai criminali di trovare le nostre informazioni personali e, con queste, accedere ai nostri account online.
Tuttavia, il problema degli spyware in senso lato – quindi anche delle istruzioni e prompt con funzioni di spyware, e non solo del codice dannoso – è che sfuggono facilmente ai controlli e possono infiltrarsi nei sistemi senza che l’utente se ne accorga.
Questi spyware “camuffati” come semplici istruzioni o prompt sembrano innocui, ma possono alterare il comportamento del software o raccogliere dati sensibili senza generare allarmi. La loro capacità di aggirare i controlli di sicurezza standard li rende particolarmente insidiosi, soprattutto quando sfruttano vulnerabilità in servizi ampiamente utilizzati come le intelligenze artificiali o le piattaforme di chat.
Di fatto, esistono mille modi diversi per infiltrare spyware o istruzioni di questo tipo, sfruttando i vari processi informatici. Gli attaccanti possono approfittare di vulnerabilità nei sistemi operativi, nei browser, nelle applicazioni o persino nelle API aperte.
Ogni componente di un sistema connesso a internet diventa un potenziale punto d’ingresso per codice malevolo. Un’iniezione di prompt in un assistente virtuale, un’immagine apparentemente innocua che nasconde script malevoli o anche semplici link manipolati: tutto può diventare un canale per la spyware injection.
Ecco perché il concetto di “sicurezza per strati” è sempre più importante: non basta proteggere un singolo punto, bisogna blindare l’intero sistema con più livelli di difesa.
La barriera difensiva più importante in assoluto continua a essere un buon antivirus con funzionalità antimalware: mantienilo aggiornato e sempre attivo su tutti i dispositivi!
5 consigli di sicurezza a strati per difenderti dagli spyware (e altri malware)
Andiamo a vedere 5 consigli pratici ed efficaci per applicare l’approccio di difesa a strati al tuo computer o smartphone e difenderti dagli spyware, compresi quelli che sfruttano le vulnerabilità di ChatGPT.
Ogni consiglio punta a creare una barriera difensiva proattiva che un eventuale criminale informatico dovrà superare per accedere al tuo dispositivo e ai tuoi dati. Iniziamo!
-
Usa un antivirus e antimalware
Il primo strato di difesa è un buon antivirus con funzionalità antimalware. Questi strumenti possono identificare e bloccare molti tipi di minacce prima che possano causare danni. Installa un software di sicurezza, aggiornalo regolarmente e mantienilo sempre attivo su tutti i tuoi dispositivi.
-
Cripta la tua connessione con una VPN
Ormai, usare una VPN non è più facoltativo, ma una scelta obbligata per chi ha a cuore la propria sicurezza e privacy online. La VPN esegue la crittografia dei dati che invii e ricevi, ovvero li codifica in modo che anche se un hacker dovesse intercettarli, non riuscirebbe a leggerli.
-
Abilita l’autenticazione a 2 fattori (2FA)
L’autenticazione a due fattori aggiunge una barriera protettiva in più ai tuoi account. Anche se un criminale riuscisse a ottenere la tua password, non potrebbe accedere all’account senza il secondo fattore, come un codice monouso ricevuto tramite SMS o la scansione della tua impronta digitale. Questo rende molto più difficile per gli attaccanti rubare i tuoi dati.
-
Aggiorna tutti i software e sistemi operativi
Un livello di sicurezza importante e spesso sottovalutato è quello dei software stessi: se dimentichi di installare gli aggiornamenti, gli hacker possono sfruttare le vulnerabilità note, che invece vengono risolte tramite le patch di sicurezza.
-
Usa filtri per email e per la navigazione
L’ultimo strato di difesa consiste nel monitorare le attività dei tuoi dispositivi e impostare filtri per limitare le minacce. Questi comprendono: filtri antispam (puoi impostarli nel tuo programma o usare un software apposito); estensioni per il blocco di annunci e pop-up da aggiungere al browser; impostazioni di sicurezza per i contenuti e le pagine visitate; filtri per le app negli app store e a livello del sistema operativo dello smartphone; regole per il firewall e filtri sul router.
Quest’ultimo strato di sicurezza è un po’ più complesso, ma è anche molto, molto efficace, perché si adatta all’uso che fai del tuo computer o dispositivo mobile e quindi anche al tipo di minacce a cui è più esposto.
La spyware injection su ChatGPT è solo l’inizio di una nuova ondata di malware e attacchi cyber a cui assisteremo nei prossimi anni, dato che l’ultima grande aggiunta alla nostra vita digitale sono i chatbot basati sull’intelligenza artificiale come ChatGPT.
Per questo motivo, è importante iniziare a proteggersi subito e utilizzare tutte le informazioni e strumenti in nostro possesso per fare un uso sicuro delle nuove tecnologie.
CONTINUA A LEGGERE: Phishing Postepay: nuova truffa del controllo di sicurezza
Buona navigazione e buona protezione dagli spyware per ChatGPT!