В приложении DeepSeek для iOS обнаружены множественные уязвимости. Оно по-прежнему остаётся одним из самых популярных скачиваемых приложений в App Store после того, как возглавило рейтинги сразу после запуска.
Последние обнаруженные проблемы намного серьёзнее, чем предыдущие ошибки безопасности, из-за которых история чатов и другая конфиденциальная информация оказались в не требующей аутентификации базе данных.
Приложение DeepSeek недавно в одночасье стало самым скачиваемым приложением для iPhone. Специалисты в области ИИ отмечали, что ему требовалось значительно меньше ресурсов, чем чат-ботам с аналогичной мощностью. Эта новость привела к падению акций ряда американских компаний, занимающихся ИИ.
Однако вскоре возникли вопросы касательно безопасности и конфиденциальности. Итальянский регулятор по защите данных выразил сомнения в соответствии приложения европейскому законодательству о конфиденциальности. Ирландия задавала аналогичные вопросы. Американские власти также начали расследование возможных угроз национальной безопасности.
Затем выяснилось, что компания по ошибке оставила незащищённой базу данных с более чем миллионом записей логов, включая историю чатов и секретные ключи.
Специализирующаяся на мобильной безопасности компания NowSecure обнаружила в iPhone-версии приложения множество уязвимостей, включая отключение встроенной системы защиты Apple — App Transport Security (ATS). Эта система предназначена для того, чтобы личные данные передавались только через зашифрованные каналы. NowSecure выяснила, что DeepSeek отключила её.
Поскольку эта защита отключена, приложение может (и делает это) передавать незашифрованные данные через интернет. Компания отмечает, что, хотя эти данные могут показаться несущественными, их легко объединить, чтобы деанонимизировать пользователей.
Хотя каждый отдельный фрагмент данных сам по себе не несёт большого риска, накопление множества точек данных со временем позволяет идентифицировать пользователей. Недавняя утечка данных Gravy Analytics продемонстрировала, что такая информация собирается в больших масштабах и может эффективно деанонимизировать миллионы людей.
Там, где данные всё же шифруются, используется устаревший алгоритм, известный своими уязвимостями. Выбранный для этого раздела приложения алгоритм шифрования использует устаревший и скомпрометированный метод (3DES), что делает его плохим выбором для защиты конфиденциальных данных.
Кроме того, собираемые приложением данные могут использоваться для выявления потенциальных целей шпионажа.
Детальный анализ приводит к выводу, что использовать приложение DeepSeek для iOS небезопасно, а версия для Android ещё менее защищена.
На данный момент исследование безопасности приложения ещё находится на ранней стадии, поэтому не исключено, что будут выявлены новые уязвимости и проблемы с конфиденциальностью.
