- PVSM.RU - https://www.pvsm.ru -

Нашумевший китайский чат-бот DeepSeek небезопасен. ПО не шифрует важные данные и собирает много личной информации

Похоже, нашумевшая DeepSeek в дополнение к тому, что уже всплыло об этом продукте [1], ещё и максимально небезопасна для пользователей. 

Нашумевший китайский чат-бот DeepSeek небезопасен. ПО не шифрует важные данные и собирает много личной информации
фото NowSecure 

По данным NowSecure, компании, занимающейся безопасностью мобильных устройств, в приложении DeepSeek для iOS есть несколько уязвимостей, причём весьма серьёзных.  

Также было обнаружено, что приложение не использует собственную систему App Transport Security (ATS) от Apple, которая гарантирует, что конфиденциальные данные передаются только по зашифрованным каналам. В своих выводах NowSecure сообщает, что DeepSeel отключила эту функцию в своем приложении для iOS. 

Отсутствие ATS позволяет приложению отправлять незашифрованные данные, но важно то, что ПО как раз это и делает. Авторы отмечают, что хотя ни один из этих пакетов данных по отдельности не является высокорискованным, агрегация множества таких пакетов с течением времени быстро приводит к легкой идентификации пользователей. 

Аналитики выделяют следующие проблемные точки:

  1. Незашифрованная передача данных: приложение передает конфиденциальные данные через Интернет без шифрования, что делает их уязвимыми для перехвата и манипуляций.
  2. Слабые и жестко запрограммированные ключи шифрования: использует устаревшее шифрование Triple DES, повторно использует векторы инициализации и жестко запрограммирует ключи шифрования, вопреки лучшим практикам безопасности.
  3. Небезопасное хранение данных: имя пользователя, пароль и ключи шифрования хранятся небезопасно, что увеличивает риск кражи учетных данных.
  4. Расширенный сбор данных и снятие отпечатков пальцев: приложение собирает данные о пользователях и устройствах, которые можно использовать для отслеживания и деанонимизации.
  5. Данные отправляются в Китай и регулируются законами КНР: данные пользователей передаются на серверы, контролируемые ByteDance, что вызывает опасения по поводу доступа правительства и рисков соблюдения требований.

Полный анализ показывает, что приложение DeepSeek для iOS не является безопасным или надежным в использовании, а его аналог для Android, вероятно, немного хуже. 

Источник [2]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/410160

Ссылки в тексте:

[1] всплыло об этом продукте: https://www.ixbt.com/news/2025/02/01/nikakogo-chuda-kitajskaja-nejroset-deepseek-iz-sebja-ne-predstavljaet-zatraty-na-ejo-obuchenie-mogli-byt-v-400-raz.html

[2] Источник: https://www.ixbt.com/news/2025/02/08/nashumevshij-kitajskij-chatbot-deepseek-nebezopasen-po-ne-shifruet-vazhnye-dannye-i-sobiraet-mnogo-lichnoj-informacii.html