Valse ChatGPT-apps bedriegen Android-gebruikers
Beveiligingsexperts van Sophos hebben gewaarschuwd voor een nieuwe vorm van oplichting die Google Play en de App Store van Apple binnendringt. Deze frauduleuze apps beweren via gratis proefversies toegang te bieden tot de chatbotservice van OpenAI, ChatGPT, maar gaan uiteindelijk abonnementskosten in rekening brengen.
Hoewel OpenAI betaalde versies van GPT en ChatGPT aanbiedt voor gewone gebruikers en ontwikkelaars, kan de AI-chatbot gratis worden uitgeprobeerd op de website van OpenAI. De oplichters achter deze apps profiteren van personen die geïnteresseerd zijn in de nieuwe technologie, maar niet over de kennis beschikken om het zelf uit te proberen. De onderzoekers ontdekten deze zwendel-apps in eerste instantie via advertenties in nieuws-apps en sociale netwerken, maar gebruikers kunnen ze ook tegenkomen tijdens het zoeken op Google Play en de App Store.
De oplichters gebruiken tactieken zoals typefouten in de app-namen om minder technisch onderlegde gebruikers te targeten en degenen te vermijden die de gratis proefperiode zouden annuleren vanwege ontevredenheid. Deze oplichting valt onder de categorie 'fleeceware'. De moeilijkheid bij het bestrijden van deze apps ligt in het feit dat ze geen openlijk kwaadaardig gedrag vertonen, waardoor het een uitdaging is om ze te identificeren als expliciete malware. Bij het ter beoordeling indienen van deze apps bij Apple en Google, maken oplichters mogelijk niet volledig bekend wat de prijs van het abonnement is of wanneer gebruikers moeten betalen om de app te blijven gebruiken. Later kunnen ze de abonnementsvoorwaarden wijzigen zonder de technische aspecten van de app te wijzigen.
Exploitatieve apps maken misbruik van Storefront-abonnementsmodellen
Google en Apple bieden ontwikkelaars mechanismen om in-app-aankopen aan te bieden, inclusief eenmalige kosten en terugkerende kosten. Deze bedrijven ontvangen een percentage van de betalingen die door apps worden geïnd in hun respectievelijke app-winkels.
De Android-app "Open Chat GBT" kon bijvoorbeeld gratis worden gedownload, maar bestookte gebruikers met buitensporige advertenties. Gebruikers mochten slechts drie chatbot-interacties uitvoeren voordat ze werden gevraagd zich te abonneren. Gebruikers konden standaard kiezen voor een gratis proefperiode van drie dagen, waarna het abonnement $ 10 per maand zou kosten. Een andere optie was een jaarabonnement van $ 30. Ook vonden de onderzoekers een vergelijkbare app met een andere naam maar van dezelfde ontwikkelaar in de App Store voor iOS.
Sophos-onderzoekers rapporteerden enkele van de nep-AI-chatbot-apps aan Apple en Google, wat leidde tot het verwijderen van sommige apps. Sommige apps bleven echter beschikbaar, zelfs nadat ze waren gemarkeerd. Apple en Google erkenden de inzendingen, maar ze reageerden niet onmiddellijk op verzoeken om commentaar.
De onderzoekers vermoeden dat sommige van deze apps OpenAI's ChatGPT 3 API gebruiken om inhoud te genereren, terwijl andere chatbotfunctionaliteiten van mindere kwaliteit gebruiken. In plaats van het aantal zoekopdrachten te beperken, kappen sommige apps de antwoorden af en geven gebruikers alleen een fragment totdat ze zich abonneren.
Een belangrijk probleem met fleeceware, zoals benadrukt door Gallagher, een senior dreigingsonderzoeker bij Sophos, is dat gebruikers vaak geen kennis hebben over het beheer van hun abonnementen. Ze realiseren zich misschien niet dat zelfs na het verwijderen van een app de terugkerende betalingen voor de service doorgaan.
