DeepSeek Enviando Dados Sensíveis de Usuários Não Protegidos Para a Mãe do TikTok, ByteDance

Há crescentes preocupações sobre a segurança do aplicativo DeepSeek para iOS, pois pode estar transmitindo dados de usuários não protegidos para a ByteDance, a empresa mãe do TikTok.

De acordo com a empresa de segurança móvel baseada nos EUA, NowSecure, que conduziu uma avaliação abrangente de segurança e privacidade do aplicativo DeepSeek para iOS em dispositivos iOS reais, descobriu que o aplicativo usa transmissão de dados não criptografada, chaves de criptografia fracas e codificadas, armazenamento de dados inseguro, coleta extensiva de dados e impressão digital, e envia dados não criptografados para a China.

A primeira e mais importante questão destacada pela NowSecure é que o aplicativo DeepSeek para iOS envia dados de registro de aplicativos móveis e dados do dispositivo pela internet sem criptografia, tornando-o vulnerável à interceptação e manipulação.

Por exemplo, um atacante de rede com acesso privilegiado (comumente conhecido como ataque Man-in-the-Middle) poderia interceptar e modificar os dados, comprometendo a integridade do aplicativo e a segurança dos dados.

Embora a Apple tenha proteções de plataforma integradas para proteger os desenvolvedores de introduzir essa falha, de acordo com a NowSecure, a proteção foi desativada globalmente para o aplicativo DeepSeek para iOS. **

“ Quando um usuário inicia o aplicativo DeepSeek para iOS pela primeira vez, ele se comunica com a infraestrutura de backend do DeepSeek para configurar o aplicativo, registrar o dispositivo e estabelecer um mecanismo de perfil de dispositivo. Mesmo quando a rede está configurada para atacar ativamente o aplicativo móvel (via um ataque MITM), o aplicativo ainda executa essas etapas, o que permite tanto ataques passivos quanto ativos contra os dados,” escreveu a empresa em um post no blog publicado na quinta-feira.

Aplicativos modernos usam criptografia de dados para proteger a confidencialidade e integridade, o que requer uma implementação adequada para proteger os dados dos usuários.

No entanto, o aplicativo depende de um algoritmo de criptografia simétrica inseguro (3DES), reutiliza vetores de inicialização e codifica chaves de criptografia, violando as melhores práticas de segurança.

Além disso, o aplicativo DeepSeek para iOS armazena inseguramente nomes de usuários, senhas e chaves de criptografia, aumentando o risco de roubo de credenciais. O aplicativo também coleta dados de usuários e dispositivos que podem ser usados para rastreamento e desanonimização.

Além disso, o aplicativo usa dezenas de pontos de dados, incluindo ID da organização, versão do sistema operacional do dispositivo e o idioma selecionado na configuração. A NowSecure observa que os dados dos usuários são enviados para servidores da Volcengine, uma plataforma de serviço em nuvem lançada pela ByteDance em 2021.

Como a ByteDance é regida pelas leis chinesas, pode ser obrigada a compartilhar os dados que coleta com o governo chinês, levantando grandes preocupações de vigilância e conformidade para empresas e governos que utilizam o aplicativo.

“O aplicativo DeepSeek para iOS desativa globalmente a Segurança de Transporte de Aplicativos (ATS), que é uma proteção em nível de plataforma iOS que impede que dados sensíveis sejam enviados por canais não criptografados. Como essa proteção está desativada, o aplicativo pode (e envia) dados não criptografados pela internet,” acrescentou a NowSecure.

A NowSecure sugere que os usuários removam prontamente o DeepSeek de seus iPhones para proteger sua segurança e privacidade.

Ela também recomenda que empresas e agências removam imediatamente o aplicativo móvel DeepSeek para iOS de seus ambientes gerenciados e BYOD, considerem plataformas alternativas de IA (inteligência artificial) que priorizem a segurança móvel e a proteção de dados, e monitorem continuamente aplicativos móveis para riscos emergentes.