DeepSeek з айфонів надсилає відкриті дані прямо на сервери ByteDance
Застосунок DeepSeek AI Assistant для iOS, який став найпопулярнішим застосунком для айфонів в США, надсилає незашифровані дані прямо на сервери, контрольовані китайською ByteDance, власницею тіктока.
Про це повідомляє Ars Technica з посиланням на звіт кібербезпекової компанії NowSecure.
ШІ-асистент надсилає конфіденційні дані через незашифровані канали, роблячи дані доступними для читання будь-кому, хто може контролювати трафік. Маючи трохи часу і натхнення, зловмисники можуть перехопити і підробити дані під час передачі.
Apple наполягає, щоб розробники застосунків для iPhone та iPad вмикали шифрування даних через ATS (App Transport Security). Проте в DeepSeek під iOS цей захист глобально вимкнено в програмі.
І це не все. Дані йдуть на сервери, які контролюються китайцями з ByteDance – через інфраструктуру Volcengine, китайської хмарної платформи. Там їх можна легко прив’язати до даних користувачів, що зібрані в інших місцях, щоб ідентифікувати конкретних користувачів і потенційно відстежувати запити та інше використання.
Фахівці NowSecure виявили інші небезпечні моменти. Програма використовує симетричну схему шифрування, відому як 3DES або потрійний DES. Американський інститут стандартизації NIST забракував цю схему ще у 2016-му, коли дослідження показало, що її можна зламати атакою на веб-трафік і трафік VPN. Ба більше, в застосунку жорстко закодовані і зберігаються на пристрої ключи для симетричного шифрування.
Підписуйтеся на наші соцмережі
Кіберфахівці рекомендують компаніям видаляти DeepSeek з айфонів і не тільки
NowSecure рекомендує організаціям видалити мобільний додаток DeepSeek для iOS з пристроїв, які мають доступ к бізнес-даним компаній через ризики конфіденційності та безпеки:
- Проблеми конфіденційності через незахищену передачу даних
- Проблеми з уразливістю через жорстко закодовані ключі симетричного шифрування
- Обмін даними з третіми особами, такими як ByteDance
- Аналіз та зберігання даних у Китаї
Застосунок DeepSeek для Android є навіть більш небезпечним, ніж аналог під iOS, і його також слід видалити.
DeepSeek одразу під час початкової реєстрації програми надсилає відкриті дані:
- ідентифікатор організації
- версія комплекту розробки програмного забезпечення, використаного для створення програми
- версія ОС користувача
- мова, вибрана в конфігурації
Apple наполегливо рекомендує розробникам застосовувати ATS, щоб гарантувати, що їхні додатки не передають жодних даних у небезпечних умовах через канали HTTP.
В DeepSeek не пояснюють, чому в застосунку викнено захист ATS і чому він не використовує шифрування під час надсилання інформації.
Це не перша проблема безпеки даних в DeepSeek
Минулого тижня дослідники із Cisco і Університету Пенсільванії виявили, що модель DeepSeek R1 провалила на 100% захист проти 50 промтів, призначених для створення токсичного контенту.
Раніше безпекова фірма Wiz Reserve виявила витік 1 млн рядків історій чата з бази даних DeepSeek.
0
Підписуйтеся на наші соцмережі
Підприємництво
Пиши на SPEKA!
Будь в курсі зі SPEKA!
Раз на тиждень ми будемо відправляти вам найцікавіші редакційні матеріали.
