人们越来越担心 DeepSeek iOS 应用程序的安全性,因为它可能会将不受保护的用户数据传输给 TikTok 的母公司字节跳动。
据美国移动安全公司 NowSecure 称,该公司在实际 iOS 设备上对 DeepSeek iOS 移动应用程序进行了全面的安全和隐私评估,发现该应用程序使用未加密的数据传输、弱和硬编码的加密密钥、不安全的数据存储、广泛的数据收集和指纹识别,并将未加密的数据发送到中国。
NowSecure 强调的第一个也是最重要的问题是,DeepSeek iOS 应用程序在没有加密的情况下通过互联网发送移动应用程序注册和设备数据,使其容易受到拦截和纵。
例如,具有特权访问权限的网络攻击者(通常称为中间人攻击)可以拦截和修改数据,从而破坏应用程序的完整性和数据安全性。
尽管 Apple 具有内置的平台保护措施来保护开发人员免受此缺陷的侵害,但据 NowSecure 称,DeepSeek iOS 应用程序的保护已全局禁用。
“当用户首次启动 DeepSeek iOS 应用程序时,它与 DeepSeek 的后端基础设施通信,以配置应用程序、注册设备并建立设备配置文件机制。即使网络被配置为主动攻击移动应用程序(通过 MITM 攻击),该应用程序仍然会执行这些步骤,从而对数据进行被动和主动攻击。
现代应用程序使用数据加密来保护机密性和完整性,这需要正确实施以保护用户数据。
但是,该应用程序依赖于不安全的对称加密算法 (3DES),重复使用初始化向量,并对加密密钥进行硬编码,违反了最佳安全实践。
此外,DeepSeek iOS 应用程序不安全地存储用户名、密码和加密密钥,增加了凭据被盗的风险。该应用程序还收集可用于跟踪和去匿名化的用户和设备数据。
此外,该应用程序使用数十个数据点,包括组织 ID、设备作系统版本和配置中选择的语言。NowSecure 指出,用户数据由字节跳动于 2021 年发布的云服务平台 Volcengine 发送到服务器。
由于字节跳动受中国法律管辖,它可能被迫与中国政府共享其收集的数据,这给使用该应用程序的企业和政府带来了重大的监控和合规问题。
“DeepSeek iOS 应用程序全局禁用应用程序传输安全 (ATS),这是一种 iOS 平台级保护,可防止敏感数据通过未加密的通道发送。由于此保护被禁用,该应用程序可以(并且确实)通过互联网发送未加密的数据,“NowSecure 补充道。
NowSecure 建议用户立即从他们的 iPhone 中删除 DeepSeek,以保护他们的安全和隐私。
报告还建议企业和机构立即从其托管和 BYOD 环境中删除 DeepSeek 移动 iOS 应用程序,考虑优先考虑移动安全和数据保护的替代 AI(人工智能)平台,并持续监控移动应用程序以发现新出现的风险。
