DeepSeek Sendet Ungeschützte Sensible Benutzerdaten An TikToks Muttergesellschaft ByteDance

Es gibt wachsende Bedenken hinsichtlich der Sicherheit der DeepSeek iOS-App, da sie möglicherweise ungeschützte Benutzerdaten an ByteDance, die Muttergesellschaft von TikTok, überträgt.

Laut dem US-amerikanischen Mobilitätssicherheitsunternehmen NowSecure, das eine umfassende Sicherheits- und Datenschutzbewertung der DeepSeek iOS-Mobilanwendung auf tatsächlichen iOS-Geräten durchgeführt hat, verwendet die App unverschlüsselte Datenübertragung, schwache und fest codierte Verschlüsselungsschlüssel, unsichere Datenspeicherung, umfangreiche Datensammlung und Fingerabdruckerkennung und sendet unverschlüsselte Daten nach China.

Das erste und wichtigste Problem, das von NowSecure hervorgehoben wird, ist, dass die DeepSeek iOS-App einige mobile App-Registrierungs- und Gerätedaten über das Internet ohne Verschlüsselung sendet, was sie anfällig für Abfangen und Manipulation macht.

Zum Beispiel könnte ein Netzwerkangreifer mit privilegiertem Zugriff (allgemein bekannt als Man-in-the-Middle-Angriff) die Daten abfangen und ändern, was die Integrität und Datensicherheit der App gefährdet.

Obwohl Apple integrierte Plattformschutzmaßnahmen hat, um Entwickler davor zu schützen, diesen Fehler einzuführen, wurde laut NowSecure der Schutz global für die DeepSeek iOS-App deaktiviert. **

“ Wenn ein Benutzer die DeepSeek iOS-App zum ersten Mal startet, kommuniziert sie mit der Backend-Infrastruktur von DeepSeek, um die Anwendung zu konfigurieren, das Gerät zu registrieren und einen Geräteprofilmechanismus einzurichten. Selbst wenn das Netzwerk so konfiguriert ist, dass es aktiv die mobile App angreift (über einen MITM-Angriff), führt die App dennoch diese Schritte aus, was sowohl passive als auch aktive Angriffe auf die Daten ermöglicht,” schrieb das Unternehmen in einem Blogbeitrag, der am Donnerstag veröffentlicht wurde.

Moderne Apps verwenden Datenverschlüsselung, um Vertraulichkeit und Integrität zu schützen, was eine ordnungsgemäße Implementierung erfordert, um Benutzerdaten zu schützen.

Die App verlässt sich jedoch auf einen unsicheren symmetrischen Verschlüsselungsalgorithmus (3DES), wiederverwendet Initialisierungsvektoren und codiert Verschlüsselungsschlüssel fest, was gegen die besten Sicherheitspraktiken verstößt.

Darüber hinaus speichert die DeepSeek iOS-App Benutzernamen, Passwörter und Verschlüsselungsschlüssel unsicher, was das Risiko des Diebstahls von Anmeldeinformationen erhöht. Die App sammelt auch Benutzer- und Gerätedaten, die für Tracking und De-Anonymisierung verwendet werden können.

Außerdem verwendet die App Dutzende von Datenpunkten, einschließlich Organisations-ID, Geräte-OS-Version und die in der Konfiguration ausgewählte Sprache. NowSecure weist darauf hin, dass Benutzerdaten an Server von Volcengine gesendet werden, einer Cloud-Service-Plattform, die 2021 von ByteDance veröffentlicht wurde.

Da ByteDance den chinesischen Gesetzen unterliegt, könnte es gezwungen sein, die gesammelten Daten mit der chinesischen Regierung zu teilen, was erhebliche Überwachungs- und Compliance-Bedenken für Unternehmen und Regierungen aufwirft, die die App nutzen.

„Die DeepSeek iOS-App deaktiviert global die App Transport Security (ATS), die ein plattformübergreifender Schutz von iOS ist, der verhindert, dass sensible Daten über unverschlüsselte Kanäle gesendet werden. Da dieser Schutz deaktiviert ist, kann die App (und tut dies auch) unverschlüsselte Daten über das Internet senden,” fügte NowSecure hinzu.

NowSecure empfiehlt, dass Benutzer DeepSeek umgehend von ihren iPhones entfernen, um ihre Sicherheit und Privatsphäre zu schützen.

Es wird auch empfohlen, dass Unternehmen und Behörden die DeepSeek mobile iOS-App sofort aus ihren verwalteten und BYOD-Umgebungen entfernen, alternative KI (künstliche Intelligenz)-Plattformen in Betracht ziehen, die mobile Sicherheit und Datenschutz priorisieren, und mobile Anwendungen kontinuierlich auf aufkommende Risiken überwachen.