Falske ChatGPT-apps svindel Android-brugere
Sikkerhedseksperter fra Sophos har rejst en advarsel om en ny form for fidus, der infiltrerer Google Play og Apples App Store. Disse bedrageriske apps hævder at give adgang til OpenAIs chatbot-tjeneste, ChatGPT, gennem gratis prøveperioder, men begynder til sidst at opkræve abonnementsgebyrer.
Mens OpenAI tilbyder betalte versioner af GPT og ChatGPT til almindelige brugere og udviklere, kan AI chatbot prøves gratis på OpenAIs hjemmeside. Svindlerne bag disse apps udnytter personer, der er interesserede i den nye teknologi, men mangler viden til at prøve det selv. Forskerne opdagede oprindeligt disse svindelapps gennem annoncer i nyhedsapps og sociale netværk, men brugere kan også støde på dem, mens de søgte i Google Play og App Store.
Svindlerne bruger taktikker som tastefejl i appnavnene for at målrette mod mindre teknologikyndige brugere og undgå dem, der ville annullere den gratis prøveperiode på grund af utilfredshed. Disse svindelnumre falder ind under kategorien "fleeceware". Vanskeligheden ved at bekæmpe disse apps ligger i det faktum, at de ikke udviser åbenlyst ondsindet adfærd, hvilket gør det udfordrende for dem at blive identificeret som eksplicit malware. Når de indsender disse apps til Apple og Google til gennemgang, oplyser svindlere muligvis ikke fuldstændigt abonnementspriserne, eller hvornår brugere skal betale for at fortsætte med at bruge appen. Senere kan de ændre abonnementsvilkårene uden at ændre på appens tekniske aspekter.
Udnyttende apps misbrug butiksfront abonnementsmodeller
Google og Apple tilbyder udviklere mekanismer til at tilbyde køb i appen, herunder engangsgebyrer og tilbagevendende gebyrer. Disse virksomheder modtager en procentdel af betalingerne indsamlet af apps i deres respektive app-butikker.
For eksempel kunne Android-appen "Open Chat GBT" downloades gratis, men bombarderede brugere med overdrevne annoncer. Brugere fik kun tre chatbot-interaktioner, før de blev bedt om at abonnere. Som standard kunne brugere vælge en tre-dages gratis prøveperiode, hvorefter abonnementet ville koste $10 om måneden. En anden mulighed var et $30 årligt abonnement. Forskerne fandt også en lignende app med et andet navn, men fra den samme udvikler, i App Store til iOS.
Sophos-forskere rapporterede nogle af de falske AI-chatbot-apps til Apple og Google, hvilket førte til fjernelse af nogle apps. Nogle apps forblev dog tilgængelige, selv efter at de blev markeret. Apple og Google anerkendte indlæggene, men de reagerede ikke umiddelbart på anmodninger om kommentarer.
Forskerne har mistanke om, at nogle af disse apps bruger OpenAIs ChatGPT 3 API til at generere indhold, mens andre bruger chatbot-funktioner af lavere kvalitet. I stedet for at begrænse antallet af forespørgsler, afkorter nogle apps svar og giver brugerne kun et uddrag, indtil de abonnerer.
Et væsentligt problem med fleeceware, som fremhævet af Gallagher, en senior trusselsforsker hos Sophos, er, at brugere ofte mangler viden om at administrere deres abonnementer. De er måske ikke klar over, at selv efter at have slettet en app, vil de tilbagevendende betalinger for tjenesten fortsætte.
