Исследователи из компании NowSecure начали аудит мобильного приложения DeepSeek для iOS и обнаружили серьезные проблемы с безопасностью. Главная из них заключается в том, что приложение передает конфиденциальные данные без какого-либо шифрования, подвергая их риску перехвата и манипуляций.
Также специалисты отмечают, что приложение не соблюдает правила безопасности и собирает большое количество данных о пользователях и их устройствах.
«DeepSeek для iOS передает некоторые регистрационные данные приложения и данные устройства через интернет без шифрования, — пишут аналитики. — Это подвергает любые данные в интернет-трафике как пассивным, так и активным атакам. DeepSeek для iOS глобально отключает App Transport Security (ATS) — защиту на уровне платформы iOS, которая предотвращает отправку конфиденциальных данных по незашифрованным каналам. Поскольку эта защита отключена, приложение может (и действительно передает) незашифрованные данные через интернет».
Также в отчете NowSecure перечислен ряд слабых мест в реализации шифрования пользовательских данных. К ним относятся использование небезопасного алгоритма 3DES; одинаковые для всех пользователей iOS и жестко закодированные симметричные ключи, хранящиеся на устройстве; повторное использование векторов инициализации.
Кроме того, выяснилось, что данные передаются на серверы, находящиеся под управлением платформы для облачных вычислений и хранения данных Volcano Engine, принадлежащей китайской компании ByteDance, которой также принадлежит TikTok.
Исследователи предупредили, что хотя часть этих данных зашифрована надлежащим образом при помощи TLS, после расшифровки на контролируемых ByteDance серверах информация может быть сопоставлена с другими пользовательскими данными, собранными в других местах. В итоге это может привести к идентификации конкретных людей и потенциальному отслеживанию запросов.
Хотя аудит NowSecure еще не завершен, исследователи поспешили предупредить, что iOS-приложение DeepSeek «не приспособлено и не готово обеспечить базовую защиту ваших данных и личности».
По их словам, DeepSeek для iOS умышленно или случайно не соблюдает даже фундаментальные правила безопасности. При этом приложение DeepSeek для Android эксперты назвали еще более проблемным и посоветовали его удалить.
Отметим, что на прошлой неделе агентство Associated Press сообщало, что сайт DeepSeek настроен на передачу данных пользователей в инфраструктуру China Mobile, китайскую государственную телекоммуникационную компанию, которой запрещено работать в США.
К настоящему моменту несколько стран, включая Австралию, Италию, Нидерланды и Южную Корею, а также ряд правительственных учреждений в Индии и США, ввели запрет на использование DeepSeek на правительственных устройствах из соображений национальной безопасности.
