Похоже, что нашумевшая DeepSeek, кроме уже раскрытой информации о продукте, также представляет серьёзную угрозу для безопасности пользователей.
По данным компании NowSecure, специализирующейся на безопасности мобильных платформ, приложение DeepSeek для iOS содержит ряд серьёзных уязвимостей.
В частности, было установлено, что приложение не применяет встроенную систему App Transport Security (ATS) от Apple, которая обеспечивает передачу конфиденциальной информации через защищенные каналы. В отчёте NowSecure говорится, что DeepSeek отключила эту важную функцию в своём iOS-приложении.
Отказ от использования ATS позволяет приложению отправлять данные в незашифрованном виде, и именно это ПО активно делает. Хотя каждая отдельная посылка данных не является высокорисковой, их совокупность за определённый период облегчает идентификацию пользователей.
Аналитики выделяют следующие проблемные места:
- Незащищённая передача данных: приложение переносит конфиденциальную информацию через Интернет без шифрования, оставляя её уязвимой для перехвата и модификации.
- Ненадёжные и жёстко прописанные ключи шифрования: использование устарелого шифрования Triple DES, повторное использование векторов инициализации и хардкодинг ключей шифрования, нарушая стандарты безопасности.
- Небезопасное хранение информации: имена пользователей, пароли и ключи шифрования хранятся ненадёжно, увеличивая шансы на утечку данных.
- Расширенный сбор данных и цифровые отпечатки: приложение активно собирает данные о пользователях и их устройствах, что позволяет отслеживание и деанонимизацию.
- Передача данных в Китай с соблюдением законодательства КНР: пользовательские данные отправляются на сервера ByteDance, что вызывает опасения относительно доступа госорганов КНР и соответствия требованиям.
Полное исследование подтверждает, что использование приложения DeepSeek для iOS небезопасно и ненадежно, а аналогичная версия для Android может быть менее защищённой.
Источник: iXBT
