Les clones de ChatGPT ont envahi le Play Store Android et l’App Store iOS. Ces applications trompeuses peuvent vous espionner, transmettre vos données à des tiers, ou tout simplement vous escroquer. Découvrez tout ce que vous devez savoir sur cette nouvelle menace et comment vous en protéger !
Face au succès retentissant de ChatGPT, il n’est pas surprenant que les cybercriminels s’y intéressent de près. Après avoir utilisé le chatbot pour coder des malwares, les hackers piègent les internautes en créant des clones.
Plusieurs fausses applications ChatGPT ont été identifiées sur l’App Store d’iOS et le Play Store de Google. Une fois installés, ces logiciels collectent les données des utilisateurs et les transfèrent à des serveurs distants.
Les chercheurs de Top10VPN à l’origine de cette découverte ont analysé les 10 applications les mieux classées sur la recherche « ChatGPT » sur le Play Store et l’App Store. Ils ont utilisé des outils open-source comme mitmproxy pour examiner le trafic sur le réseau dans un environnement de test, et détecter les fonctionnalités dangereuses dans le code des applications Android.
De plus, les chercheurs ont analysé les conditions de confidentialité de ces applications clone, afin de percer à jour leurs pratiques de collecte et partage de données.
Android : les clones ChatGPT vous pistent, vous écoutent et vous font payer pour un outil gratuit
La plupart des applis Android passées au crible reposaient sur le modèle GPT-3 de ChatGPT. Deux d’entre elles collectaient et partageaient l’adresse IP de l’utilisateur avec des tiers.
Une application intitulée « ChatGPT AI Writing Assistant » a déjà été téléchargée plus de 100 000 fois sur Android. Elle est capable de pister l’utilisateur, et de transmettre ses données de géolocalisation à des géants comme ByteDance et Amazon.
En outre, trois applications demandaient des permissions pouvant compromettre la confidentialité des utilisateurs. Il s’agissait notamment d’enregistrer du contenu audio, alors même qu’aucune fonctionnalité de l’application n’utilise le microphone…
Toutes ces applications clones comprennent du code pouvant impacter la confidentialité. Elles réclament aussi des autorisations comme l’accès à la géolocalisation, l’appareil photo, les vidéos ou le stockage du smartphone.
Neuf des applications analysées se basent sur le modèle gratuit GPT-3, et trois d’entre elles font payer l’accès aux utilisateurs. L’une d’entre elles propose même une version « gratuite avec publicité »…
iOS : 300 requêtes serveur en moins de 5 minutes
Sur l’App Stopre d’Apple pour les appareils iOS, les 10 clones ChatGPT les plus téléchargés partagent des données personnelles sans les protections adéquates. Deux d’entre elles enregistrent le contenu Q&A, et cinq permettent l’accès à des trackers tiers.
Lors du test de l’une des applications, elle a émis plus de 300 requêtes de serveur en quatre minutes. Sept applications ne respectent pas les pratiques légales de collecte de données si l’on se fie à leurs politiques de confidentialité.
Les hackers semblent penser que les utilisateurs d’iPhone sont prêts à payer plus cher. En effet, sur les neuf applications utilisant GPT-3, huit exigeaient 15 000 dollars par an !
Quelle menace pour la confidentialité ?
Tous les clones de ChatGPT repérés sur le Google Play Store collectaient et partageaient des données avec une faible protection de la confidentialité. De nombreux points de données ont été partagés sur les appareils des utilisateurs, notamment la taille de l’écran ou l’opérateur mobile.
Au premier regard, ces pratiques peuvent paraître inoffensives. En réalité, elles permettent aux cybercriminels d’établir l’empreinte digitale d’un smartphone. L’application TalkGPT est la plus agressive, et partage des données avec ByteDance, Amazon, Appodeal, AdTech et InMobi.
Elle exige aussi la permission d’enregistrer l’audio et de collecter l’adresse IP et l’empreinte de l’appareil. Ces données sont partagées avec Facebook, Google, Everest Technologies, AdColony et Criteo.
Par ailleurs, en pensant discuter avec ChatGPT, les utilisateurs piégés par ces clones peuvent partager des informations intimes et des données sensibles avec les créateurs de ces applications.
Fort heureusement, aucune des applis examinées ne contenait de logiciel malveillant. Toutefois, beaucoup d’entre elles taxent l’utilisateur pour l’accès à une application disponible gratuitement sur le web, ce qui n’est pas beaucoup plus éthique…
Selon Benoit Grunemwald, expert en cybersécurité chez ESET France, « ces applications contiennent une couche de fonctionnalité au-dessus de ChatGPT qui demande un abonnement pour être utilisée. Elles pourraient potentiellement collecter les données des utilisateurs et des appareils. Il nous semble opportun de rappeler d’être attentionné à la manière dont les applications collectent et analysent des données souvent personnelles ».
Comment reconnaître les clones de ChatGPT ?
Afin de protéger les utilisateurs de smartphones de ces clones de ChatGPT, les chercheurs de TOP10VPN ont dévoilé une liste complète d’applications à éviter à cette adresse. Elle inclut notamment sur Android :
- AI Chat Companion
- ChatGPT 3: Chat GPT AI
- Open AI Chat Gpt – AI 360
- TalkGPT – Talk to ChatGPT
- Open Chat – AI Chatbot App
- ChatGPT AI Writing Assistant
Voici aussi quelques exemples d’applications à éviter sur iOS :
- Open Chat – AI Chatbot
- Alfred – Chat with GPT 3
- Genie – GPT AI Assistant
- TalkGPT – Talk to ChatGPT
- Chat AI: Personal AI Assistant
- Write For Me GPT AI Assistant
- Wisdom Ai – Your AI Assistant
Si vous voyez une application ChatGPT sur l’App Store ou le Play Store, il s’agit obligatoirement d’un clone puisqu’il n’y a pas d’application mobile officielle pour cette IA début 2023. Le chatbot n’est tout simplement pas disponible sur iOS ou Android.
Comme l’explique Benoit Grunemwald, « comme le service d’IA n’est accessible qu’à partir d’un navigateur Web sans fournir d’application mobile, des développeurs malveillants ont exploité cette situation et conçu de multiples applications qui détournent cette technologie ».
Toutefois, OpenAI développe actuellement une version mobile de ChatGPT. Lorsque cette appli sera disponible, il sera plus difficile de distinguer les clones du véritable outil.
De manière générale, veillez à toujours vérifier l’éditeur d’une application. Dans le cas de ChatGPT, il s’agit de l’entreprise OpenAI dont l’identité sera certifiée par Google sur le Play Store et Apple sur iOS.
Vous pouvez également consulter les avis laissés par les utilisateurs. Si une application est mal notée, il est possible qu’il s’agisse d’une contrefaçon ou d’un cheval de Troie. Lisez les commentaires pour comprendre le mécontentement général.
Cet article Voir la source
Aucune réponse