DeepSeek Invia Dati Utente Sensibili Non Protetti A ByteDance, La Casa Madre Di TikTok

Ci sono crescenti preoccupazioni riguardo alla sicurezza dell’app iOS DeepSeek, poiché potrebbe trasmettere dati utente non protetti a ByteDance, la società madre di TikTok.

Secondo la società di sicurezza mobile con sede negli Stati Uniti NowSecure, che ha condotto una valutazione completa della sicurezza e della privacy dell’app mobile iOS DeepSeek su dispositivi iOS reali, è emerso che l’app utilizza trasmissioni di dati non criptate, chiavi di crittografia deboli e hardcoded, archiviazione dei dati insicura, raccolta estesa di dati e fingerprinting, e invia dati non criptati in Cina.

Il primo e principale problema evidenziato da NowSecure è che l’app iOS DeepSeek invia dati di registrazione dell’app mobile e del dispositivo su Internet senza crittografia, rendendola vulnerabile all’intercettazione e alla manipolazione.

Ad esempio, un attaccante di rete con accesso privilegiato (comunemente noto come attacco Man-in-the-Middle) potrebbe intercettare e modificare i dati, compromettendo l’integrità dell’app e la sicurezza dei dati.

Sebbene Apple abbia protezioni integrate nella piattaforma per proteggere gli sviluppatori dall’introdurre questo difetto, secondo NowSecure, la protezione è stata disabilitata globalmente per l’app iOS DeepSeek. **

“ Quando un utente avvia per la prima volta l’app iOS DeepSeek, comunica con l’infrastruttura di backend di DeepSeek per configurare l’applicazione, registrare il dispositivo e stabilire un meccanismo di profilo del dispositivo. Anche quando la rete è configurata per attaccare attivamente l’app mobile (tramite un attacco MITM), l’app esegue comunque questi passaggi, il che consente attacchi sia passivi che attivi contro i dati,” ha scritto la società in un post sul blog pubblicato giovedì.

Le app moderne utilizzano la crittografia dei dati per proteggere la riservatezza e l’integrità, il che richiede un’implementazione adeguata per proteggere i dati degli utenti.

Tuttavia, l’app si basa su un algoritmo di crittografia simmetrica insicuro (3DES), riutilizza vettori di inizializzazione e hardcodes chiavi di crittografia, violando le migliori pratiche di sicurezza.

Inoltre, l’app iOS DeepSeek memorizza in modo insicuro nomi utente, password e chiavi di crittografia, aumentando il rischio di furto di credenziali. L’app raccoglie anche dati sugli utenti e sui dispositivi che possono essere utilizzati per il tracciamento e la de-anonimizzazione.

Inoltre, l’app utilizza decine di punti dati, inclusi ID organizzazione, versione del sistema operativo del dispositivo e la lingua selezionata nella configurazione. NowSecure osserva che i dati degli utenti vengono inviati a server di Volcengine, una piattaforma di servizi cloud rilasciata da ByteDance nel 2021.

Poiché ByteDance è soggetta alle leggi cinesi, potrebbe essere costretta a condividere i dati che raccoglie con il governo cinese, sollevando importanti preoccupazioni di sorveglianza e conformità per le imprese e i governi che utilizzano l’app.

“L’app iOS DeepSeek disabilita globalmente la Sicurezza del Trasporto delle App (ATS), che è una protezione a livello di piattaforma iOS che impedisce l’invio di dati sensibili su canali non criptati. Poiché questa protezione è disabilitata, l’app può (e lo fa) inviare dati non criptati su Internet,” ha aggiunto NowSecure.

NowSecure suggerisce agli utenti di rimuovere prontamente DeepSeek dai loro iPhone per proteggere la loro sicurezza e privacy.

Raccomanda inoltre alle imprese e alle agenzie di rimuovere immediatamente l’app mobile iOS DeepSeek dai loro ambienti gestiti e BYOD, considerare piattaforme AI (intelligenza artificiale) alternative che diano priorità alla sicurezza mobile e alla protezione dei dati, e monitorare continuamente le applicazioni mobili per i rischi emergenti.