DeepSeek ujawnia niezaszyfrowane dane chińskim serwerom: odkryto krytyczne luki w zabezpieczeniach aplikacji iOS

Aplikacja DeepSeek wywołała poruszenie, stając się najczęściej pobieraną aplikacją AI w App Store, przewyższając nawet ChatGPT w ciągu pierwszego miesiąca od jej uruchomienia. Jednak popularność ta została przyćmiona przez poważne obawy dotyczące kwestii prywatności i bezpieczeństwa. Ostatnie dochodzenia ujawniły, że aplikacja DeepSeek przesyła niezaszyfrowane dane użytkownika na serwery w Chinach z powodu znacznych luk w zabezpieczeniach obecnych w jej wersji iOS.

Krytyczne obawy dotyczące bezpieczeństwa aplikacji iOS firmy DeepSeek

Jak wcześniej podkreślono, DeepSeek wzbudza poważne obawy z powodu braku mechanizmów filtrowania, które mogą nieumyślnie narażać użytkowników na ryzyko w oparciu o ich zapytania wyszukiwania. To przyciągnęło uwagę urzędników USA, którzy obecnie oceniają potencjalne implikacje dla bezpieczeństwa narodowego praktyk przetwarzania danych przez aplikację, w szczególności jej nieautoryzowanego przesyłania informacji na zagraniczne serwery.

Nieszyfrowana transmisja danych

Według spostrzeżeń NowSecure, renomowanej firmy zajmującej się bezpieczeństwem urządzeń mobilnych, aplikacja DeepSeek zawiera wiele luk w zabezpieczeniach związanych z jej architekturą. Co najważniejsze, zgłoszono, że aplikacja nie wykorzystuje App Transport Security (ATS) firmy Apple, systemu zaprojektowanego w celu zapewnienia, że poufne informacje są przekazywane wyłącznie za pośrednictwem bezpiecznych, szyfrowanych kanałów. W rzeczywistości ustalenia wskazują, że DeepSeek celowo wyłączył tę niezbędną funkcję na swojej platformie iOS.

Aplikacja DeepSeek iOS globalnie wyłącza App Transport Security (ATS), czyli ochronę na poziomie platformy iOS, która zapobiega wysyłaniu poufnych danych przez niezaszyfrowane kanały. Ponieważ ta ochrona jest wyłączona, aplikacja może ( i wysyła) niezaszyfrowane dane przez internet.

Ryzyko podatności danych i manipulacji

NowSecure zauważył, że chociaż ujawnione dane mogą wydawać się niegroźne na pierwszy rzut oka, można je zmanipulować, aby narazić anonimowość użytkownika. Na przykład niedawne naruszenie bezpieczeństwa Gravy Analytics służy jako ostrzeżenie, ilustrując, jak dane mogą być agregowane na masową skalę, skutecznie ujawniając tożsamości milionów osób.

Niedawne naruszenie bezpieczeństwa danych w Gravy Analytics pokazuje, że dane te są aktywnie gromadzone na dużą skalę i mogą skutecznie pozbawić anonimowości miliony osób.

Nieaktualne praktyki bezpieczeństwa

Poleganie DeepSeek na przestarzałych metodologiach szyfrowania to kolejny alarmujący czynnik. Używane algorytmy są nie tylko przestarzałe, ale także wysoce wadliwe, co rodzi pytania o adekwatność ochrony danych użytkowników. Ponadto informacje gromadzone przez DeepSeek mogą nieumyślnie wskazywać osoby, które mogą być interesujące dla działań szpiegowskich.

[Przykładowy użytkownik] korzysta z najnowszego iPada, wykorzystując połączenie danych komórkowych zarejestrowane w FirstNet (amerykańskim operatorze szerokopasmowej sieci bezpieczeństwa publicznego) i prawdopodobnie użytkownik ten będzie uważany za cenny cel dla szpiegostwa.

Należy pamiętać, że w aplikacji DeepSeek na iOS-a gromadzone są nie tylko dziesiątki punktów danych, ale powiązane dane pochodzą z milionów aplikacji i można je łatwo kupić, połączyć, a następnie powiązać, aby szybko uzyskać anonimowość użytkowników.

Przyszłe implikacje dla DeepSeek

Dokładna analiza raportu bezpieczeństwa wskazuje, że aplikacja DeepSeek iOS stwarza znaczne ryzyko i jest niebezpieczna dla użytkowników. Wersja aplikacji na Androida podobno wykazuje podobne, jeśli nie gorsze, luki w zabezpieczeniach. Aby DeepSeek utrzymał swoją obecność na rynku w Stanach Zjednoczonych i poza nimi, musi pilnie zająć się tymi krytycznymi problemami bezpieczeństwa i prywatności. W przeciwnym razie może spotkać go los podobny do losu TikToka, który obecnie porusza się po burzliwych wodach, co może doprowadzić do trwałego zakazu lub przymusowej sprzedaży podmiotowi z siedzibą w USA.