Deepseek ส่งข้อมูลผู้ใช้ที่ไม่ได้รับการป้องกันไปยังบายพาสพาเรนต์ของ Tiktok

มีความกังวลเพิ่มขึ้นเกี่ยวกับความปลอดภัยของแอพ Deepseek iOS เนื่องจากอาจส่งข้อมูลผู้ใช้ที่ไม่มีการป้องกันไปยัง Bytedance ซึ่งเป็น บริษัท แม่ของ Tiktok

ตามที่ บริษัท รักษาความปลอดภัยมือถือในสหรัฐอเมริกา Nowsecure ผู้ดำเนินการประเมินความปลอดภัยและการประเมินความเป็นส่วนตัวของแอพมือถือ iOS Deepseek บนอุปกรณ์ iOS จริงพบว่าแอพใช้การส่งข้อมูลที่ไม่ได้เข้ารหัส, ปุ่มเข้ารหัสที่อ่อนแอและ hardcoded, การจัดเก็บข้อมูลที่ไม่ปลอดภัย การรวบรวมและลายนิ้วมือและส่งข้อมูลที่ไม่ได้เข้ารหัสไปยังประเทศจีน

ปัญหาแรกและสำคัญที่สุดที่เน้นโดย Nowsecure คือแอป Deepseek iOS ส่งการลงทะเบียนแอพมือถือ OME และข้อมูลอุปกรณ์ผ่านอินเทอร์เน็ตโดยไม่ต้องเข้ารหัสทำให้มีความเสี่ยงต่อการสกัดกั้นและการจัดการ

ตัวอย่างเช่นผู้โจมตีเครือข่ายที่มีการเข้าถึงที่ได้รับการยกเว้น (หรือที่รู้จักกันทั่วไปว่าเป็นการโจมตีแบบ man-in-the-Middle) สามารถสกัดกั้นและปรับเปลี่ยนข้อมูลโดยการประนีประนอมความสมบูรณ์ของแอปและความปลอดภัยของข้อมูล

แม้ว่า Apple มีการป้องกันแพลตฟอร์มในตัวเพื่อปกป้องนักพัฒนาจากการแนะนำข้อบกพร่องนี้ตาม Nowsecure การป้องกันถูกปิดใช้งานทั่วโลกสำหรับแอพ Deepseek iOS 

-เมื่อผู้ใช้เปิดตัวแอพ Deepseek iOS เป็นครั้งแรกมันสื่อสารกับโครงสร้างพื้นฐานแบ็คเอนด์ของ Deepseek เพื่อกำหนดค่าแอปพลิเคชันลงทะเบียนอุปกรณ์และสร้างกลไกโปรไฟล์อุปกรณ์ แม้ว่าเครือข่ายจะถูกกำหนดค่าให้โจมตีแอพมือถืออย่างแข็งขัน (ผ่านการโจมตี MITM) แอปยังคงดำเนินการขั้นตอนเหล่านี้ซึ่งช่วยให้ทั้งการโจมตีแบบพาสซีฟและแอคทีฟกับข้อมูล” บริษัท ”เขียนในบล็อกโพสต์เผยแพร่เมื่อวันพฤหัสบดี

แอพที่ทันสมัยใช้การเข้ารหัสข้อมูลเพื่อป้องกันการรักษาความลับและความสมบูรณ์ซึ่งต้องใช้การใช้งานที่เหมาะสมเพื่อปกป้องข้อมูลผู้ใช้

อย่างไรก็ตามแอพนี้ขึ้นอยู่กับอัลกอริทึมการเข้ารหัสสมมาตรที่ไม่ปลอดภัย (3DEs), นำการเริ่มต้นเวกเตอร์การเริ่มต้นใหม่และปุ่มเข้ารหัสรหัส hardcode ซึ่งเป็นการละเมิดแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด

นอกจากนี้แอพ Deepseek iOS จะเก็บชื่อผู้ใช้รหัสผ่านและปุ่มเข้ารหัสอย่างไม่ปลอดภัยเพิ่มความเสี่ยงของการขโมยข้อมูลรับรอง แอพยังรวบรวมข้อมูลผู้ใช้และอุปกรณ์ที่สามารถใช้สำหรับการติดตามและยกเลิกการกำหนดนามสกุล

ยิ่งไปกว่านั้นแอพใช้จุดข้อมูลหลายสิบจุดรวมถึง ID องค์กรรุ่นอุปกรณ์ระบบปฏิบัติการและภาษาที่เลือกในการกำหนดค่า Nowsecure บันทึกว่าข้อมูลผู้ใช้ถูกส่งไปยังเซิร์ฟเวอร์โดย Volcengine แพลตฟอร์มบริการคลาวด์ที่เผยแพร่โดย Bytedance ในปี 2021

เนื่องจากบายพาสถูกควบคุมโดยกฎหมายของจีนจึงอาจถูกบังคับให้แบ่งปันข้อมูลที่รวบรวมกับรัฐบาลจีนทำให้เกิดการเฝ้าระวังที่สำคัญและความกังวลเกี่ยวกับการปฏิบัติตามกฎระเบียบสำหรับองค์กรและรัฐบาลที่ใช้แอพ

“ แอพ Deepseek iOS ทั่วโลกปิดการใช้งานแอพ Transport Security (ATS) ซึ่งเป็นการป้องกันระดับแพลตฟอร์ม iOS ที่ป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนจากการถูกส่งผ่านช่องทางที่ไม่ได้เข้ารหัส เนื่องจากการป้องกันนี้ถูกปิดใช้งานแอปจึงสามารถส่งข้อมูลที่ไม่ได้เข้ารหัสผ่านอินเทอร์เน็ตได้” Nowsecure เพิ่ม

Nowsecure แนะนำว่าผู้ใช้จะลบ Deepseek ออกจาก iPhone ทันทีเพื่อปกป้องความปลอดภัยและความเป็นส่วนตัวของพวกเขา

นอกจากนี้ยังแนะนำให้องค์กรและเอเจนซี่ถอดแอพ Deepseek Mobile iOS ออกจากสภาพแวดล้อมที่ได้รับการจัดการและ BYOD ให้พิจารณาแพลตฟอร์ม AI ทางเลือก (ปัญญาประดิษฐ์) ทางเลือกที่จัดลำดับความสำคัญของการรักษาความปลอดภัยและการป้องกันข้อมูลมือถือและตรวจสอบแอปพลิเคชันมือถืออย่างต่อเนื่อง