人們越來越擔心 DeepSeek iOS 應用程序的安全性,因為它可能會將未受保護的用戶數據傳輸給 TikTok 的母公司字節跳動。
美國移動安全公司NowSecure對實際iOS設備上的DeepSeek iOS移動應用程序進行了全面的安全和隱私評估,發現該應用程序使用未加密的數據傳輸、弱硬編碼的加密密鑰、不安全的數據存儲、廣泛的數據收集和指紋識別,並將未加密的數據發送到中國。
NowSecure 強調的首要問題是 DeepSeek iOS 應用程序在沒有加密的情況下通過互聯網發送一些移動應用程序註冊和設備數據,使其容易受到攔截和操縱。
例如,具有特權訪問權限的網絡攻擊者(通常稱為中間人攻擊)可以攔截和修改數據,從而損害應用程序的完整性和數據安全性。
據 NowSecure 稱,儘管蘋果有內置的平台保護措施來保護開發者免受此缺陷的影響,但 DeepSeek iOS 應用程序的保護功能在全球範圍內被禁用。
“當用戶首次啟動 DeepSeek iOS 應用程序時,它會與 DeepSeek 的後端基礎設施進行通信,以配置應用程序、註冊設備並建立設備配置文件機制。即使網絡配置為主動攻擊移動應用程序(通過 MITM 攻擊),該應用程序仍會執行這些步驟,從而對數據進行被動和主動攻擊。 ”在博客文章中寫道週四發表。
現代應用程序使用數據加密來保護機密性和完整性,這需要正確實施來保護用戶數據。
然而,該應用程序依賴於不安全的對稱加密算法(3DES),重複使用初始化向量並對加密密鑰進行硬編碼,違反了最佳安全實踐。
此外,DeepSeek iOS 應用程序不安全地存儲用戶名、密碼和加密密鑰,增加了憑證被盜的風險。該應用程序還收集可用於跟踪和去匿名化的用戶和設備數據。
此外,該應用程序使用數十個數據點,包括組織 ID、設備操作系統版本以及配置中選擇的語言。 NowSecure指出,用戶數據通過字節跳動於2021年發布的雲服務平台Volcengine發送到服務器。
由於字節跳動受中國法律管轄,它可能被迫與中國政府分享其收集的數據,這給使用該應用程序的企業和政府帶來了重大的監視和合規問題。
“DeepSeek iOS 應用程序全局禁用應用程序傳輸安全 (ATS),這是一種 iOS 平台級保護,可防止敏感數據通過未加密的通道發送。由於禁用了此保護,該應用程序可以(並且確實)通過互聯網發送未加密的數據,”NowSecure 補充道。
NowSecure 建議用戶立即從 iPhone 上刪除 DeepSeek,以保護自己的安全和隱私。
它還建議企業和機構立即從其託管和 BYOD 環境中刪除 DeepSeek 移動 iOS 應用程序,考慮優先考慮移動安全和數據保護的替代 AI(人工智能)平台,並持續監控移動應用程序是否存在新風險。
