Çin Yapay Zekası (AI) Şirketinden Yeni Mobil Uygulamalar Deepseek 25 Ocak 2025’teki ilk çıkışlarından bu yana Apple ve Google Cihazları için en iyi üç “ücretsiz” indirme arasında kaldı. Ancak uzmanlar, Deepseek’in tasarım seçimlerinin çoğunun-sert kodlu şifreleme anahtarlarını kullanma ve şifrelenmemiş kullanıcı ve cihaz gönderme gibi dikkatli olun Çin şirketlerine veriler – Bir dizi göze çarpan güvenlik ve gizlilik riski sunmak.
Deepseek AI sohbet uygulamalarına kamu ilgisi, yeni başlayan Çinli AI firmasının önde gelen AI şirketlerinin güvendiği özel bilgisayar çiplerinin bir kısmını kullanırken, en yeni sohbet botlarının yeteneklerini eşleştirmeyi başardığını bildiren yaygın medya raporlarının ardından şişti. Bu yazıdan itibaren Deepseek, Apple Store’da en çok indirilen üçüncü “ücretsiz” uygulamadır ve Google Play’de 1 numaralıdır.
Deepseek’in hızlı yükselişi mobil güvenlik firmasının dikkatini çekti Şimdimüşterilerin güvenlik ve gizlilik tehditleri için mobil uygulamaları taramasına yardımcı olan Chicago merkezli bir şirket. Bugün yayınlanan DeepSeek uygulamasının bir yırtılmasında, NowSecure organizasyonları Deepseek iOS mobil uygulamasını ortamlarından kaldırmaya çağırdı ve güvenlik endişelerine atıfta bulundu.
Şimdi kurucu kurucu Andrew High Deepseek uygulamasının derinlemesine bir analizini henüz sonuçlandırmadıklarını söyledi. Android cihazlar, ancak temel tasarımının işlevsel olarak çok farklı olacağına inanmak için çok az neden var.
Hoog, KrebSonsecurity’de Deepseek iOS uygulaması hakkında derin oturmuş güvenlik ve gizlilik risklerinin varlığını gösteren bir dizi nitelik olduğunu söyledi. Yeni başlayanlar için, uygulamanın kullanıcının cihazı hakkında çok fazla veri topladığını söyledi.
“Gelişmiş cihaz parmak izinin kenarında olan çok ilginç şeyler yapıyorlar,” dedi Hoog, uygulamanın bir özelliğinin cihazın adını izlediğini belirterek – birçok iOS cihaz için müşterinin adına varsayılan olarak ve ardından iOS türünü takip ediyor. cihaz.
NowSecure, Deepseek iOS uygulamasının kullanıcılarını kurşunlamak için kullanıcının internet adresi ve toplanan verilerle birlikte paylaşılan cihaz bilgileri kullanılabilir. Raporda, Deepseek’in iletişim kurduğu Voljintarafından geliştirilen bir bulut platformu Bayt (yapımcılar Tiktok), NowSecure, verilerin sadece Bytedans’ın dijital dönüşüm bulut hizmetinden yararlanıp yararlanmadığı veya bildirilen bilgi payı iki şirket arasında daha da uzanıyor olup olmadığının net olmadığını söylemesine rağmen.
Resim: şimdi secure.
Belki de daha çok, NowSecure, iOS uygulamasının, verileri kapsüllemek için herhangi bir şifreleme olmadan cihaz bilgilerini “net olarak” ilettiğini söyledi. Bu, uygulama tarafından ele alınan verilerin, uygulamanın trafiğini taşıyan ağlardan herhangi birine erişimi olan herkes tarafından ele geçirilebileceği, okunabileceği ve hatta değiştirilebileceği anlamına gelir.
Raporda, “Deepseek iOS uygulaması, hassas verilerin şifrelenmemiş kanallar üzerinden gönderilmesini önleyen bir iOS platform seviyesi koruması olan App Transport Güvenliği’ni (ATS) küresel olarak devre dışı bırakıyor” dedi. “Bu koruma devre dışı bırakıldığından, uygulama internet üzerinden şifrelenmemiş veri gönderebilir (ve yapar).”
Hoog, uygulamanın Deepseek sunucularından gelen yanıtların bölümlerini seçici olarak şifrelediğini söyledi. Ancak, 3DES (AKA Triple Des) adlı güvensiz ve şimdi kullanımdan kaldırılmış şifreleme algoritması kullandığını ve geliştiricilerin şifreleme anahtarını sabit kodladığını buldular. Bu, bu veri alanlarını deşifre etmek için gereken kriptografik anahtarın uygulamanın kendisinden çıkarılabileceği anlamına gelir.
Raporda vurgulanan başka, daha az endişe verici güvenlik ve gizlilik sorunları vardı, ancak Hoog, uygulamanın kodu içinde gizlenen ek, görünmeyen güvenlik endişeleri olduğundan emin olduğunu söyledi.
Hoog, “İnsanların gerçekten basit kodlama hataları sergilediğini gördüğümüzde, daha derine inerken genellikle çok daha fazla sorun var” dedi. “Güvenlik veya gizlilik konusunda neredeyse hiçbir öncelik yok. Kültürel veya Çin tarafından zorunlu kılınan ya da bir araya getirilmiş olsun, birlikte alınırlar, güvenlik ve gizlilik kontrollerinde önemli bir geçmeye işaret ediyorlar ve bu da şirketleri riske atıyor. ”
Görünüşe göre, birçok kişi bu görüşü paylaşıyor. Aksiler 30 Ocak’ta ABD Kongre ofislerinin uygulamayı kullanmamaları konusunda uyarıldığı bildirildi.
“[T]Hreat aktörleri zaten kötü amaçlı yazılımlar sunmak ve cihazları enfekte etmek için Deepseek’ten yararlanıyorlar ”dedi. “Bu riskleri azaltmak için Meclis, Deepseek’in evden çıkarılan tüm cihazlardaki işlevselliğini kısıtlamak için güvenlik önlemleri aldı.”
TechCrunch İtalya ve Tayvan’ın güvenlik endişeleri nedeniyle Deepseek’i yasaklamak için zaten hareket ettiğini bildiriyor. Bloomberg yazıyor Pentagon Deepseek’e erişimi engelledi. CNBC diyor NASA ayrıca çalışanların hizmeti kullanmasını yasakladı, ABD Donanması.
Deepseek iOS uygulamasına bağlı güvenlik endişelerinin ötesinde, Çinli AI şirketinin kullanıcılardan ve kullanıcılardan topladığı verilerle hızlı ve gevşek oynayabileceği göstergeleri var. 29 Ocak’ta araştırmacılar WIZ Deepseek ile bağlantılı olarak “önemli bir sohbet geçmişi, arka uç verileri ve günlük akışları, API sırları ve operasyonel detaylar dahil olmak üzere hassas bilgiler” ü açıklayan herkese açık bir veritabanı keşfettiklerini söyledi.
Wiz, “Daha eleştirel olarak, Deepseek ortamında tam veritabanı kontrolü ve potansiyel ayrıcalık artışına izin verilen maruziyet, dış dünyaya herhangi bir kimlik doğrulama veya savunma mekanizması olmadan” diye yazdı Wiz. [Full disclosure: Wiz is currently an advertiser on this website.]
Krebsonsecurity, Deepseek ve Apple’dan rapor hakkında yorum istedi. Bu hikaye, önemli yanıtlarla güncellenecektir.