DeepSeek expõe dados não criptografados para servidores chineses: vulnerabilidades críticas de segurança encontradas em aplicativo iOS

DeepSeek expõe dados não criptografados para servidores chineses: vulnerabilidades críticas de segurança encontradas em aplicativo iOS

O aplicativo DeepSeek fez ondas ao se tornar o aplicativo de IA mais baixado na App Store, superando até mesmo o ChatGPT no primeiro mês de seu lançamento. No entanto, essa popularidade foi ofuscada por sérias preocupações em torno de questões de privacidade e segurança. Investigações recentes revelaram que o aplicativo DeepSeek está transmitindo dados de usuários não criptografados para servidores na China devido a vulnerabilidades de segurança significativas presentes em sua versão iOS.

Preocupações críticas de segurança do aplicativo iOS da DeepSeek

Conforme destacado anteriormente, o DeepSeek levanta grandes alarmes devido à sua falta de mecanismos de filtragem, o que pode inadvertidamente expor os usuários a riscos com base em suas consultas de pesquisa. Isso atraiu o escrutínio de autoridades dos EUA, que estão atualmente avaliando as potenciais implicações de segurança nacional das práticas de manuseio de dados do aplicativo, particularmente sua transmissão não autorizada de informações para servidores estrangeiros.

Transmissão de dados não criptografados

De acordo com insights da NowSecure, uma empresa de segurança móvel respeitável, o aplicativo DeepSeek contém múltiplas vulnerabilidades relacionadas à sua arquitetura. Crucialmente, foi relatado que o aplicativo não utiliza o App Transport Security (ATS) da Apple, um sistema projetado para garantir que informações confidenciais sejam transmitidas exclusivamente por canais seguros e criptografados. Na verdade, as descobertas indicam que o DeepSeek desabilitou intencionalmente esse recurso essencial em sua plataforma iOS.

O aplicativo DeepSeek iOS desabilita globalmente o App Transport Security (ATS), que é uma proteção de nível de plataforma iOS que impede que dados confidenciais sejam enviados por canais não criptografados. Como essa proteção está desabilitada, o aplicativo pode ( e envia ) dados não criptografados pela internet.

Riscos de vulnerabilidade e manipulação de dados

NowSecure observou que, embora os dados expostos possam parecer inócuos à primeira vista, eles podem ser manipulados para comprometer o anonimato do usuário. Por exemplo, a violação recente envolvendo a Gravy Analytics serve como um aviso, ilustrando como os dados podem ser agregados em uma escala massiva, revelando efetivamente as identidades de milhões.

A recente violação de dados da Gravy Analytics demonstra que esses dados estão sendo coletados ativamente em grande escala e podem efetivamente desanonimizar milhões de indivíduos.

Práticas de segurança desatualizadas

A dependência da DeepSeek em metodologias de criptografia obsoletas é outro fator alarmante. Os algoritmos em uso não são apenas desatualizados, mas também altamente falhos, levantando questões sobre a adequação da proteção para dados do usuário. Além disso, as informações acumuladas pela DeepSeek podem inadvertidamente destacar indivíduos que podem ser de interesse para atividades de espionagem.

[Um usuário de exemplo] está operando no iPad mais recente, aproveitando uma conexão de dados celulares registrada na FirstNet (operadora americana de rede de banda larga de segurança pública) e, aparentemente, o usuário seria considerado um alvo de alto valor para espionagem.

Tenha em mente que não apenas dezenas de pontos de dados são coletados no aplicativo DeepSeek para iOS, mas dados relacionados são coletados de milhões de aplicativos e podem ser facilmente adquiridos, combinados e correlacionados para rapidamente desanonimizar os usuários.

Implicações futuras para o DeepSeek

Uma revisão completa do relatório de segurança indica que o aplicativo DeepSeek iOS apresenta riscos significativos e não é seguro para uso do consumidor. A versão Android do aplicativo supostamente exibe falhas de segurança semelhantes, se não piores. Para que o DeepSeek mantenha sua presença de mercado nos Estados Unidos e além, ele deve abordar urgentemente essas preocupações críticas de segurança e privacidade. Caso contrário, ele pode enfrentar um destino paralelo ao do TikTok, que atualmente está navegando em águas turbulentas que podem levar a uma proibição permanente ou a uma venda forçada para uma entidade sediada nos EUA.

Fonte&Imagens

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *