DeepSeekが保護されていない敏感なユーザーデータをTikTokの親会社ByteDanceに送信

DeepSeekのiOSアプリのセキュリティに関する懸念が高まっています。なぜなら、同アプリがByteDance（TikTokの親会社）に保護されていないユーザーデータを送信している可能性があるからです。

米国のモバイルセキュリティ会社NowSecureによると、実際のiOSデバイスでDeepSeekのiOSモバイルアプリの包括的なセキュリティとプライバシー評価を実施した結果、アプリが暗号化されていないデータ送信、弱いハードコーディングされた暗号鍵、不安全なデータストレージ、広範なデータ収集とフィンガープリンティングを使用し、暗号化されていないデータを中国に送信していることがわかりました。

NowSecureが指摘した最も重要な問題は、DeepSeekのiOSアプリがモバイルアプリの登録およびデバイスデータをインターネット経由で暗号化せずに送信しているため、傍受や操作に対して脆弱であるということです。

たとえば、特権アクセスを持つネットワーク攻撃者（一般に中間者攻撃として知られる）は、データを傍受して変更することができ、アプリの整合性とデータセキュリティを損なう可能性があります。

Appleは、開発者がこの欠陥を導入するのを防ぐためのプラットフォーム保護を組み込んでいますが、NowSecureによると、DeepSeekのiOSアプリに対してはその保護がグローバルに無効化されていました。**

「 ユーザーがDeepSeekのiOSアプリを初めて起動すると、アプリケーションを構成し、デバイスを登録し、デバイスプロファイルメカニズムを確立するためにDeepSeekのバックエンドインフラストラクチャと通信します。ネットワークがモバイルアプリに対して積極的に攻撃するように設定されていても（MITM攻撃を介して）、アプリはこれらのステップを実行し続け、データに対する受動的および能動的な攻撃を可能にします」と、同社は木曜日に公開したブログ投稿で述べています。

現代のアプリは、機密性と整合性を保護するためにデータ暗号化を使用しており、ユーザーデータを保護するためには適切な実装が必要です。

しかし、アプリは不安全な対称暗号化アルゴリズム（3DES）に依存し、初期化ベクトルを再利用し、暗号鍵をハードコーディングしており、最良のセキュリティプラクティスに違反しています。

さらに、DeepSeekのiOSアプリはユーザー名、パスワード、暗号鍵を不安全に保存しており、資格情報の盗難リスクを高めています。アプリはまた、追跡や非匿名化に使用できるユーザーおよびデバイスデータを収集しています。

さらに、アプリは組織ID、デバイスOSバージョン、構成で選択された言語など、数十のデータポイントを使用しています。NowSecureは、ユーザーデータが2021年にByteDanceによってリリースされたクラウドサービスプラットフォームVolcengineによってサーバーに送信されることを指摘しています。

ByteDanceは中国の法律に従っているため、収集したデータを中国政府と共有することを強いられる可能性があり、アプリを利用する企業や政府にとって重大な監視およびコンプライアンスの懸念を引き起こします。

「DeepSeekのiOSアプリは、暗号化されていないチャネルを介して機密データが送信されるのを防ぐiOSプラットフォームレベルの保護であるApp Transport Security（ATS）をグローバルに無効化します。この保護が無効化されているため、アプリは（そして実際に）インターネット経由で暗号化されていないデータを送信できます」とNowSecureは付け加えました。

NowSecureは、ユーザーが自分のiPhoneからDeepSeekを速やかに削除してセキュリティとプライバシーを保護することを強く推奨しています。

また、企業や機関は、管理された環境やBYOD環境からDeepSeekのモバイルiOSアプリを直ちに削除し、モバイルセキュリティとデータ保護を優先する代替のAI（人工知能）プラットフォームを検討し、モバイルアプリケーションの新たなリスクを継続的に監視することを推奨しています。