Threats
Aplicações que se fazem passar pelo ChatGPT tiram partidos das vulnerabilidades das normas das lojas de aplicações para cobrar taxas indevidas aos utilizadores
22/05/2023
A Sophos descobriu várias aplicações que se fazem passar por chatbots legítimos, baseados no ChatGPT, para cobrar valores indevidos aos utilizadores e ganhar milhares de dólares por mês. Conforme detalhado no mais recente relatório da Sophos X-Ops, “’FleeceGPT’ Mobile Apps Target AI-Curious to Rake in Cash”, estas aplicações apareceram tanto no Google Play como na Apple App Store e, uma vez que as versões gratuitas têm uma funcionalidade quase nula e anúncios constantes, coagem os utilizadores incautos a assinar uma subscrição que pode custar-lhes centenas de dólares por ano. “Os criminosos utilizam, e utilizarão sempre, as últimas tendências ou tecnologias para encher os bolsos, e o ChatGPT não é exceção. Uma vez que o interesse na IA e nos chatbots está no auge, os utilizadores estão a recorrer à Apple App Store e à Google Play Store para descarregar qualquer coisa que se assemelhe ao ChatGPT. Este tipo de aplicações fraudulentas – que a Sophos apelida de ‘Fleeceware’ – bombardeiam frequentemente os utilizadores com anúncios até que estes assinem uma subscrição, apostando no facto de os utilizadores não prestarem atenção ao custo, ou simplesmente se esquecerem que têm essa subscrição ativa. Estas aplicações são concebidas especificamente para não serem muito utilizadas após o fim do período de teste gratuito, pelo que os utilizadores as eliminam sem se aperceberem de que ainda têm de pagar uma subscrição mensal ou semanal”, afirmou Sean Gallagher, Principal Threat Researcher da Sophos. A Sophos X-Ops investigou um total de cinco destas aplicações de Fleeceware, e todas elas alegavam basear-se no algoritmo do ChatGPT. Em alguns casos, como o da aplicação “Chat GBT”, os programadores utilizaram uma versão próxima de ‘ChatGPT’ para melhorar a classificação no Google Play e na App Store. Embora a OpenAI disponibilize gratuitamente as funcionalidades básicas do ChatGPT aos utilizadores online, estas aplicações estavam a cobrar entre dez dólares por mês e 70 dólares por ano. A versão iOS do “Chat GBT”, a “Ask AI Assistant”, cobra seis dólares por semana – ou 312 dólares por ano – após um teste gratuito de três dias; assim sendo, só em março, rendeu aos seus criadores dez mil dólares. Outra aplicação de fleeceware, denominada “Genie”, incentiva os utilizadores a subscreverem uma assinatura semanal de sete dólares, ou anual de 70 dólares, e terá rendido um milhão de dólares no último mês. As principais características destas aplicações de Fleeceware, descobertas pela primeira vez pela Sophos em 2019, são a cobrança excessiva aos utilizadores por funcionalidades que já são gratuitas noutros locais, bem como a utilização de engenharia social e táticas coercivas para convencer os utilizadores a assinar um pagamento de subscrição recorrente. Normalmente oferecem um período de teste gratuito, mas com tantos anúncios e restrições que mal podem ser utilizadas até que se pague a subscrição. Estas aplicações também são, muitas vezes, mal escritas e implementadas, o que significa que o seu funcionamento é inferior ao ideal, mesmo depois de os utilizadores mudarem para a versão paga. Também inflacionam as suas pontuações nas lojas de aplicações através de críticas falsas e pedidos persistentes aos utilizadores para classificarem a aplicação antes de esta ter sido utilizada, ou antes de o período de avaliação gratuita ter terminado. “As aplicações de Fleeceware são concebidas especificamente para se manterem no limite do que é permitido pela Google e pela Apple em termos de serviços, e não desrespeitam as regras de segurança ou privacidade, pelo que quase nunca são rejeitadas por estas lojas durante a revisão. Embora o Google e a Apple tenham implementado novas diretrizes para conter o Fleeceware desde que reportámos estas aplicações em 2019, os programadores estão a encontrar formas de as contornar, como limitar severamente a utilização e a funcionalidade das aplicações a menos que os utilizadores paguem. Embora algumas das apps de Fleeceware do ChatGPT incluídas neste relatório já tenham sido eliminadas, mais continuam a aparecer – e é provável que isto continue. A melhor proteção é a educação: os utilizadores têm de estar cientes de que estas aplicações existem e têm de se certificar de que leem as letras pequeninas sempre que clicam em ‘subscrever’. Também podem denunciar as aplicações à Apple e à Google se acharem que os criadores estão a utilizar meios pouco éticos para lucrar”, continuou Gallagher. |