Várias falhas de segurança foram encontradas no aplicativo Deepseek iOS, que ainda é um dos downloads mais populares da App Store depois de liderar as paradas quando lançado pela primeira vez.
As descobertas mais recentes são muito piores do que a falha anterior de segurança que exposto a história do bate -papo e outras informações confidenciais em um banco de dados que não requer autenticação…
Preocupações anteriores sobre Deepseek
Enquanto mencionamos isso antes de chegar às manchetes, para a maioria das pessoas que Deepseek surgiu do nada e a noite se tornou o aplicativo para iPhone mais baixado.
Os pesquisadores da IA ficaram chocados com as capacidades de um aplicativo que tinha requisitos de hardware dramaticamente mais baixos do que os chatbots de energia semelhante, e as notícias enviaram o preço das ações de várias empresas de IA de nós.
Não demorou muito, no entanto, antes que as preocupações com segurança e privacidade fossem levantadas. O vigia de privacidade da Itália questionou se o aplicativo estava em conformidade com a lei de privacidade européia, com a Irlanda fazendo perguntas semelhantes. As autoridades americanas também estão investigando possíveis implicações de segurança nacional.
Descobriu -se então que a empresa inadvertidamente não conseguiu proteger um banco de dados contendo mais de um milhão de linhas de entradas de log, incluindo histórico de bate -papo e chaves secretas.
Várias falhas de segurança encontradas no aplicativo Deepseek iOS
Empresa de segurança móvel NowSecure encontrou várias falhas de segurança no aplicativo para iPhone-incluindo uma falha no uso do sistema de segurança de transporte de aplicativos interno da Apple (ATS). O ATS foi projetado para garantir que os dados pessoais sensíveis sejam enviados apenas canais criptografados, mas agora o momento descobriu que o Deepseek havia desligado isso.
O aplicativo DeepSeek iOS desativa globalmente a segurança do transporte de aplicativos (ATS), que é uma proteção de nível de plataforma iOS que impede que dados confidenciais sejam enviados sobre canais não criptografados. Como essa proteção é desativada, o aplicativo pode (e faz) Envie dados não criptografados pela Internet.
A empresa diz que, embora os dados expostos possam parecer inócuos, ela pode ser facilmente combinada para desanimizar os usuários.
Embora nenhum desses dados obtidos separadamente seja altamente arriscado, a agregação de muitos pontos de dados ao longo do tempo rapidamente leva a identificar facilmente indivíduos. A recente violação de dados da análise de molho demonstra que esses dados estão sendo coletados ativamente em escala e podem efetivamente desanimizar milhões de indivíduos.
Onde os dados são criptografados, a empresa está usando um método de criptografia desatualizado que é conhecido por ser defeituoso.
O algoritmo de criptografia escolhido para esta parte do aplicativo aproveita um algoritmo de criptografia quebrado conhecido (3DES), o que a torna uma má escolha para proteger a confidencialidade dos dados.
Além disso, os dados coletados pelo aplicativo podem ser usados para identificar alvos potenciais de espionagem.
(Um usuário de amostra) está operando no iPad mais recente, aproveitando uma conexão de dados celulares registrada no FirstNet (operador de rede de banda larga de segurança pública americana) e ostensivamente o usuário seria considerado um alvo de alto valor para a espionagem.
Lembre-se de que não apenas 10 dos pontos de dados são coletados no aplicativo Deepseek iOS, mas os dados relacionados são coletados de milhões de aplicativos e podem ser facilmente adquiridos, combinados e depois correlacionados para desanimizar rapidamente os usuários.
A longa análise conclui que o aplicativo Deepseek iOS não é seguro de usar e observa que a versão Android é ainda menos segura.
9to5mac de opinião
Embora o aplicativo Deepseek seja tecnicamente impressionante, e tem sido interessante testar seus recursos, alertaríamos contra qualquer pessoa que o use para tarefas da vida real que envolvam qualquer divulgação de dados pessoais. Você deve assumir que o DeepSeek pode identificá -lo e ver o conteúdo de suas interações.
Ainda estamos em um estágio relativamente inicial dos pesquisadores de segurança que examinam o aplicativo, por isso é provável que problemas adicionais de segurança e privacidade sejam revelados. Pessoalmente, agora eu o removi do meu iPhone e aconselho outros a fazer o mesmo.
Imagem: 9to5mac
FTC: Utilizamos links de afiliados de automóveis. Mais.
