DeepSeek отправляет незащищенные чувствительные данные пользователей в ByteDance, материнскую компанию TikTok

Существует растущая озабоченность по поводу безопасности приложения DeepSeek для iOS, так как оно может передавать незащищенные данные пользователей в ByteDance, материнскую компанию TikTok.

Согласно данным американской компании по мобильной безопасности NowSecure, которая провела комплексную оценку безопасности и конфиденциальности приложения DeepSeek для iOS на реальных устройствах iOS, было установлено, что приложение использует незашифрованную передачу данных, слабые и жестко закодированные ключи шифрования, небезопасное хранение данных, обширный сбор данных и отпечатков пальцев, а также отправляет незашифрованные данные в Китай.

Первой и главной проблемой, на которую указала NowSecure, является то, что приложение DeepSeek для iOS отправляет данные о регистрации мобильного приложения и устройстве через интернет без шифрования, что делает его уязвимым для перехвата и манипуляций.

Например, сетевой злоумышленник с привилегированным доступом (обычно известный как атака «Человек посередине») может перехватить и изменить данные, что ставит под угрозу целостность приложения и безопасность данных.

Хотя Apple имеет встроенные платформенные защиты, чтобы защитить разработчиков от введения этого недостатка, по данным NowSecure, защита была отключена глобально для приложения DeepSeek для iOS. **

“ Когда пользователь впервые запускает приложение DeepSeek для iOS, оно связывается с серверной инфраструктурой DeepSeek для настройки приложения, регистрации устройства и установления механизма профиля устройства. Даже когда сеть настроена на активную атаку на мобильное приложение (через атаку MITM), приложение все равно выполняет эти шаги, что позволяет как пассивным, так и активным атакам на данные,” - написала компания в блоге, опубликованном в четверг.

Современные приложения используют шифрование данных для защиты конфиденциальности и целостности, что требует правильной реализации для защиты данных пользователей.

Тем не менее, приложение полагается на небезопасный симметричный алгоритм шифрования (3DES), повторно использует векторы инициализации и жестко закодирует ключи шифрования, нарушая лучшие практики безопасности.

Кроме того, приложение DeepSeek для iOS небезопасно хранит имена пользователей, пароли и ключи шифрования, увеличивая риск кражи учетных данных. Приложение также собирает данные о пользователе и устройстве, которые могут быть использованы для отслеживания и деанонимизации.

Более того, приложение использует десятки точек данных, включая ID организации, версию ОС устройства и язык, выбранный в конфигурации. NowSecure отмечает, что данные пользователей отправляются на серверы Volcengine, облачной сервисной платформы, выпущенной ByteDance в 2021 году.

Поскольку ByteDance подчиняется китайским законам, она может быть вынуждена делиться собранными данными с китайским правительством, что вызывает серьезные опасения по поводу наблюдения и соблюдения норм для предприятий и правительств, использующих приложение.

“Приложение DeepSeek для iOS глобально отключает безопасность передачи приложений (ATS), которая является защитой на уровне платформы iOS, предотвращающей отправку чувствительных данных через незашифрованные каналы. Поскольку эта защита отключена, приложение может (и делает) отправлять незашифрованные данные через интернет,” - добавила NowSecure.

NowSecure предлагает пользователям незамедлительно удалить DeepSeek со своих iPhone, чтобы защитить свою безопасность и конфиденциальность.

Также рекомендуется предприятиям и агентствам немедленно удалить мобильное приложение DeepSeek для iOS из своих управляемых и BYOD-сред, рассмотреть альтернативные платформы ИИ (искусственного интеллекта), которые придают приоритет мобильной безопасности и защите данных, и постоянно мониторить мобильные приложения на предмет возникающих рисков.