第一章 背景
自 2022 年 11 月推出以来,ChatGPT 迅速成为备受瞩目的人工智能工具之一,其用户数已超过 1 亿。然而,随着 ChatGPT 的知名度不断提高,也引发了一些非法人员制作和分发相关应用程序的问题,这些应用程序可能会给用户带来巨大的安全风险。
据奇安信病毒响应中心移动安全团队监测,自 2022 年 12 月以来,与 ChatGPT 相关的样本呈现出爆发式增长的趋势,目前已经监测到 1170 个相关样本。这些样本可能包含病毒、恶意软件和其他恶意代码,可能会导致用户的数据泄露、隐私侵犯和财务损失等严重后果。
需要明确的是,OpenAI 并没有发布适用于 Android 系统的 ChatGPT 应用程序,即便开发者可以使用 OpenAI API 提供的 SDK 将其集成到自己的应用程序中。此次报告的目的是对监测到的相关样本进行威胁分析,以帮助企业和用户更好地了解相关风险,并采取措施避免造成损失。
第二章 威胁分析
本次检测采用奇安信完全自主研发安卓动态引擎 QADE(后文统称奇安信 QADE 引擎)。奇安信 QADE 引擎是首款既支持对 APP 进行传统恶意样本高中低风险检测,又支持对非法索权和超范围采集两大类合规化问题进行检测的综合一体化动态自动引擎。其中的自动化合规检测项包含:
1) 强制索权
APP 安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。
2) 过度索权
APP 未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
3) 频繁索权
APP 短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。
4) 无提示收集个人信息
检测存在无隐私说明提示或者未同意隐私协议便开始收集用户个人信息。
5) 高频次收集个人信息
检测存在按频率(每百秒的收集次数超过 2 次)收集用户个人信息。
一、 样本增长趋势
奇安信病毒响应中心移动安全团队依靠自身强大的数据监控能力,对当前网络上传播的 ChatGPT 相关样本的进统计分析。研究表明,这些样本最早出现在 2022 年 12 月份,与OpenAI 发布 ChatGPT 的时间吻合。截至 2023 年 2 月 19 日前,每周样本新增量以指数级趋势增长,之后趋于平稳,稳定在每周 200 个左右。
