Recent, au fost descoperite multiple vulnerabilități de securitate în aplicația DeepSeek pentru iOS, una dintre cele mai populare din App Store. Aceste probleme sunt mai grave decât cele anterioare, care au expus istoricul conversațiilor și alte informații sensibile într-o bază de date nesecurizată.
Probleme anterioare cu DeepSeek
Deși am menționat anterior aplicația, pentru majoritatea oamenilor, DeepSeek a apărut brusc și a devenit rapid cea mai descărcată aplicație pentru iPhone. Cercetătorii în domeniul inteligenței artificiale au fost surprinși de capabilitățile unei aplicații care necesita resurse hardware semnificativ mai mici decât chatbot-urile de putere similară, iar această veste a dus la scăderea prețului acțiunilor unor companii americane de AI.
Nu a durat mult până când au apărut îngrijorări legate de securitate și confidențialitate. Autoritatea italiană pentru protecția datelor a pus sub semnul întrebării conformitatea aplicației cu legislația europeană privind confidențialitatea, iar Irlanda a ridicat întrebări similare. Oficialii americani investighează, de asemenea, potențialele implicații asupra securității naționale.
Ulterior, s-a descoperit că compania a omis, din neatenție, să securizeze o bază de date care conținea peste un milion de înregistrări de log, inclusiv istoricul conversațiilor și chei secrete.
Noi vulnerabilități de securitate în aplicația DeepSeek pentru iOS
Compania de securitate mobilă NowSecure a identificat multiple vulnerabilități în aplicația pentru iPhone, inclusiv dezactivarea sistemului integrat al Apple, App Transport Security (ATS). ATS este conceput pentru a asigura că datele personale sensibile sunt transmise doar prin canale criptate, însă NowSecure a constatat că DeepSeek a dezactivat această funcție.
Aplicația DeepSeek pentru iOS dezactivează global App Transport Security (ATS), o protecție la nivel de platformă iOS care previne transmiterea datelor sensibile prin canale necriptate. Deoarece această protecție este dezactivată, aplicația poate (și o face) să trimită date necriptate prin internet.
Compania afirmă că, deși datele expuse pot părea inofensive, acestea pot fi combinate cu ușurință pentru a de-anonimiza utilizatorii.
Deși niciuna dintre aceste date, luate separat, nu prezintă un risc ridicat, agregarea multor puncte de date în timp duce rapid la identificarea ușoară a indivizilor. Breșa recentă de date de la Gravy Analytics demonstrează că aceste date sunt colectate activ la scară largă și pot de-anonimiza eficient milioane de persoane.
În cazurile în care datele sunt criptate, compania utilizează o metodă de criptare depășită, cunoscută ca fiind defectuoasă.
Algoritmul de criptare ales pentru această parte a aplicației utilizează un algoritm de criptare cunoscut ca fiind defectuos (3DES), ceea ce îl face o alegere slabă pentru protejarea confidențialității datelor.
În plus, datele colectate de aplicație ar putea fi utilizate pentru a identifica potențiale ținte de spionaj.
Rețineți că nu doar zeci de puncte de date sunt colectate în aplicația DeepSeek pentru iOS, ci și date conexe sunt colectate din milioane de aplicații și pot fi achiziționate cu ușurință, combinate și apoi corelate pentru a de-anonimiza rapid utilizatorii.
Analiza detaliată concluzionează că aplicația DeepSeek pentru iOS nu este sigură de utilizat și notează că versiunea pentru Android este și mai puțin sigură.
Concluzie
Deși aplicația DeepSeek este impresionantă din punct de vedere tehnic și a fost interesant de testat capabilitățile sale, recomandăm ca nimeni să nu o utilizeze pentru sarcini reale care implică divulgarea oricăror date personale. Ar trebui să presupuneți că DeepSeek vă poate identifica și vedea conținutul interacțiunilor dvs.
Suntem încă într-o etapă relativ incipientă a cercetărilor de securitate asupra aplicației, astfel încât este probabil ca probleme suplimentare de securitate și confidențialitate să fie dezvăluite. Personal, am eliminat-o acum de pe iPhone-ul meu și aș sfătui și pe alții să facă la fel.