| 7 февраля 2025 г. — 5:25 PT
В приложении DeepSeek для iOS, которое по-прежнему является одной из самых популярных загрузок в App Store после того, как возглавило чарты при запуске, обнаружено множество уязвимостей безопасности.
Последние находки намного хуже, чем предыдущий сбой безопасности, который раскрыл историю чатов и другую конфиденциальную информацию в базе данных, не требующей аутентификации…
Предыдущие опасения по поводу DeepSeek
Хотя мы упоминали об этом до того, как оно попало в заголовки, для большинства людей DeepSeek появилось из ниоткуда и за одну ночь стало самым загружаемым приложением для iPhone.
AI-исследователи были шокированы возможностями приложения, которое имело значительно более низкие требования к оборудованию, чем чат-боты аналогичной мощности, а новость привела к падению цен на акции ряда американских AI-компаний.
Однако вскоре возникли опасения по поводу безопасности и конфиденциальности. Надзорный орган Италии по защите данных задался вопросом, соответствует ли приложение европейскому законодательству о конфиденциальности, а Ирландия задавала аналогичные вопросы. Официальные лица США также расследуют потенциальные последствия для национальной безопасности.
Затем было обнаружено, что компания непреднамеренно не смогла обезопасить базу данных, содержащую более миллиона строк журналов, включая историю чатов и секретные ключи.
В приложении DeepSeek для iOS обнаружено множество уязвимостей безопасности
Компания по мобильной безопасности NowSecure обнаружила множество уязвимостей безопасности в приложении для iPhone, включая отказ от использования встроенной системы App Transport Security (ATS) от Apple. ATS предназначена для обеспечения того, чтобы конфиденциальные личные данные отправлялись только по зашифрованным каналам, но NowSecure обнаружила, что DeepSeek отключила эту функцию.
Приложение DeepSeek для iOS глобально отключает App Transport Security (ATS) — защиту на уровне платформы iOS, которая предотвращает отправку конфиденциальных данных по незашифрованным каналам. Поскольку эта защита отключена, приложение может (и отправляет) незашифрованные данные через Интернет (и делает это).
Компания утверждает, что, хотя раскрытые данные могут показаться безобидными, их легко объединить для деанонимизации пользователей.
Хотя ни один из этих данных по отдельности не несет высокого риска, агрегация множества точек данных с течением времени быстро приводит к легкой идентификации отдельных лиц. Недавняя утечка данных Gravy Analytics демонстрирует, что эти данные активно собираются в масштабе и могут эффективно деанонимизировать миллионы людей.
В тех случаях, когда данные зашифрованы, компания использует устаревший метод шифрования, который, как известно, имеет недостатки.
Алгоритм шифрования, выбранный для этой части приложения, использует известный скомпрометированный алгоритм шифрования (3DES), что делает его плохим выбором для защиты конфиденциальности данных.
Кроме того, данные, собранные приложением, могут быть использованы для выявления потенциальных объектов шпионажа.
[Пример пользователя] использует новейший iPad, пользуясь подключением к сотовой сети, зарегистрированным на FirstNet (оператор широкополосной сети общественной безопасности Америки), и, по-видимому, пользователь считался бы ценной мишенью для шпионажа.
Имейте в виду, что в приложении DeepSeek для iOS собирается не только десятки точек данных, но и связанные данные собираются из миллионов приложений, их можно легко приобрести, объединить, а затем сопоставить для быстрой деанонимизации пользователей.
Длительный анализ приходит к выводу, что приложение DeepSeek для iOS небезопасно для использования, и отмечает, что версия для Android еще менее безопасна.
Мнение 9to5Mac
Хотя приложение DeepSeek технически впечатляет, и было интересно протестировать его возможности, мы предостерегаем всех от использования его для реальных задач, связанных с раскрытием каких-либо личных данных. Следует предполагать, что DeepSeek может идентифицировать вас и видеть содержание ваших взаимодействий.
Мы все еще находимся на относительно ранней стадии изучения приложения исследователями безопасности, поэтому, вероятно, будут выявлены дополнительные проблемы с безопасностью и конфиденциальностью. Лично я удалил его со своего iPhone и посоветовал бы другим сделать то же самое.
Изображение: 9to5Mac