DeepSeek將不受保護的敏感用戶數據發送給Tiktok的父母

對DeepSeek iOS應用程序的安全性越來越擔心，因為它可能正在將未保護的用戶數據傳輸到Tiktok的母公司Bondedance。

根據美國的移動安全公司NowSecure的說法，他對實際iOS設備上的DeepSeek iOS移動應用進行了全面的安全性和隱私評估，發現該應用程序使用未加密的數據傳輸，弱且硬編碼的加密密鑰，不安全的數據存儲，廣泛的數據，廣泛的數據收集和指紋打印，並將未加密的數據發送給中國。

NowSecure強調的第一個也是最重要的問題是，DeepSeek iOS應用程序通過Internet發送OME移動應用程序註冊和設備數據而無需加密，從而使其容易受到截距和操縱的影響。

例如，具有特權訪問權限的網絡攻擊者（通常稱為中間攻擊）可以攔截和修改數據，從而損害應用程序的完整性和數據安全性。

根據NowSecure的說法，儘管Apple具有內置的平台保護措施，以保護開發人員免於引入此缺陷，但全球對DeepSeek iOS應用程序的保護是殘疾的。 

“當用戶首次啟動DeepSeek iOS應用程序時，它會與DeepSeek的後端基礎結構進行通信以配置應用程序，註冊設備並建立設備配置文件機制。即使將網絡配置為主動攻擊移動應用程序（通過MITM攻擊），該應用程序仍然執行這些步驟，從而可以對數據進行被動和主動攻擊，”公司寫在博客文章中週四出版。

現代應用使用數據加密來保護機密性和完整性，這需要適當的實施以保護用戶數據。

但是，該應用依賴於不安全的對稱加密算法（3DES），重用初始化向量和硬碼加密密鑰，違反了最佳安全實踐。

此外，DeepSeek iOS應用程序不安全地存儲用戶名，密碼和加密密鑰，從而增加了憑證盜竊的風險。該應用還收集可用於跟踪和去匿名化的用戶和設備數據。

此外，該應用程序使用數十個數據點，包括組織ID，設備OS版本以及配置中選擇的語言。 NowSecure指出，用戶數據是由Bytedance於2021年發布的雲服務平台Volcengine發送給服務器的。

由於野蠻人受到中國法律的管轄，因此可能會與中國政府共享收集的數據，從而對利用該應用程序的企業和政府提出了重大的監視和合規性問題。

“ DeepSeek iOS應用在全球範圍內禁用應用程序傳輸安全性（ATS），這是一個iOS平台級別的保護，可防止敏感數據通過未加密的渠道發送。由於該保護是禁用的，因此該應用程序可以（並且確實）通過Internet發送未加密的數據。” Nowsecure補充說。

NowSecure建議用戶立即從iPhone中刪除DeepSeek，以保護其安全性和隱私。

它還建議企業和代理商立即從其託管和BYOD環境中刪除DeepSeek移動iOS應用程序，考慮使用替代AI（人工智能）平台，該平台優先考慮移動安全性和數據保護，並不斷監視新興風險的移動應用程式.