对DeepSeek iOS应用程序的安全性越来越担心,因为它可能正在将未保护的用户数据传输到Tiktok的母公司Bondedance。
根据美国的移动安全公司NowSecure的说法,他对实际iOS设备上的DeepSeek iOS移动应用进行了全面的安全性和隐私评估,发现该应用程序使用未加密的数据传输,弱且硬编码的加密密钥,不安全的数据存储,广泛的数据,广泛的数据收集和指纹打印,并将未加密的数据发送给中国。
NowSecure强调的第一个也是最重要的问题是,DeepSeek iOS应用程序通过Internet发送OME移动应用程序注册和设备数据而无需加密,从而使其容易受到截距和操纵的影响。
例如,具有特权访问权限的网络攻击者(通常称为中间攻击)可以拦截和修改数据,从而损害应用程序的完整性和数据安全性。
根据NowSecure的说法,尽管Apple具有内置的平台保护措施,以保护开发人员免于引入此缺陷,但全球对DeepSeek iOS应用程序的保护是残疾的。
“当用户首次启动DeepSeek iOS应用程序时,它会与DeepSeek的后端基础结构进行通信以配置应用程序,注册设备并建立设备配置文件机制。即使将网络配置为主动攻击移动应用程序(通过MITM攻击),该应用程序仍然执行这些步骤,从而可以对数据进行被动和主动攻击,”公司写在博客文章中周四出版。
现代应用使用数据加密来保护机密性和完整性,这需要适当的实施以保护用户数据。
但是,该应用依赖于不安全的对称加密算法(3DES),重用初始化向量和硬码加密密钥,违反了最佳安全实践。
此外,DeepSeek iOS应用程序不安全地存储用户名,密码和加密密钥,从而增加了凭证盗窃的风险。该应用还收集可用于跟踪和去匿名化的用户和设备数据。
此外,该应用程序使用数十个数据点,包括组织ID,设备OS版本以及配置中选择的语言。 NowSecure指出,用户数据是由Bytedance于2021年发布的云服务平台Volcengine发送给服务器的。
由于野蛮人受到中国法律的管辖,因此可能会与中国政府共享收集的数据,从而对利用该应用程序的企业和政府提出了重大的监视和合规性问题。
“ DeepSeek iOS应用在全球范围内禁用应用程序传输安全性(ATS),这是一个iOS平台级别的保护,可防止敏感数据通过未加密的渠道发送。由于该保护是禁用的,因此该应用程序可以(并且确实)通过Internet发送未加密的数据。” Nowsecure补充说。
NowSecure建议用户立即从iPhone中删除DeepSeek,以保护其安全性和隐私。
它还建议企业和代理商立即从其托管和BYOD环境中删除DeepSeek移动iOS应用程序,考虑使用替代AI(人工智能)平台,该平台优先考虑移动安全性和数据保护,并不断监视新兴风险的移动应用程序。
![YouTube 无法正常工作? 2025 年如何解决[已解决]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2020/07/youtube-not-working.jpg)
![如何在 Windows 11 中获取帮助(10 种方法)[已解决]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2021/11/gethelpinwindows11cover.png)
