A hiba beazonosítása és javítása
Az Ollama Desktop v0.10.0 verziójában jelentkező hibát Chris Moberly, a GitLab biztonsági vezetője fedezte fel, és 2023. július 31-én jelentette. A fejlesztőcsapat rendkívül gyorsan reagált: néhány órán belül elkészült a javítás, amelyet a v0.10.1 kiadásával tettek elérhetővé. Érdemes kiemelni, hogy akik az alkalmazást hivatalos telepítővel telepítették, automatikus frissítést kaptak – nekik mindössze újra kellett indítaniuk az alkalmazást. Azoknak azonban, akik Homebrew segítségével telepítették, kézzel kellett frissíteniük.
Mi volt a probléma forrása?
Az Ollama egy nyílt forráskódú projekt, amely lehetővé teszi különböző nyelvi modellek (LLM-ek) futtatását helyi gépen. A sebezhetőség a Mac és Windows grafikus felületű változataiban jelent meg, magát az alap Ollama API-t viszont nem érintette. Ugyanakkor a hibának még nincs saját CVE-azonosítója.
A sérülékenységet a helyi webszolgáltatáshoz kapcsolódó hiányos cross-origin beállítások okozták. Ez azt jelentette, hogy más weboldalak a böngészőn keresztül képesek voltak módosítani a helyi alkalmazás beállításait, megkerülve a biztonsági ellenőrzéseket. A modern böngészők ugyan alapból blokkolják az ilyen próbálkozásokat (same-origin policy), de az Ollama hibás CORS-megvalósítása miatt egyes „egyszerű” POST kérések mégis átcsúszhattak a támadók részéről.
A támadás menete
A támadó egy rosszindulatú weboldalt hozott létre, amely JavaScript segítségével portokat keresett végig (40000-től 65535-ig), hogy megtalálja a GUI véletlenszerűen kiválasztott portját (amely minden indításnál változik). Ha sikerült, egy manipulált POST kéréssel át tudta irányítani a helyi MI-t arra, hogy minden csevegést és válasz üzenetet egy távoli, a támadó által irányított szerveren keresztül bonyolítson le.
Érdemes kiemelni, hogy a támadás teljesen láthatatlan volt a felhasználó számára, nem igényelt interakciót. Egy átlagos weboldal meglátogatása is elég lehetett a telepített és nem frissített Ollama Desktop esetén. Ezután a támadó folyamatosan figyelhette, naplózhatta az MI-vel folytatott összes beszélgetést, de akár manipulálhatta vagy felülírhatta a válaszokat is.
Hogyan védekezzünk?
Összességében elmondható, hogy az Ollama fejlesztői gyorsan megszüntették a súlyos rést, és jelenleg nincs bizonyíték arra, hogy a sebezhetőséget széles körben kihasználták volna. A frissítés telepítése azonban rendkívül fontos; aki még nem frissített, mielőbb tegye meg a saját gépe és adatai védelmében.
