Китайский сервис DeepSeek, предлагающий решения на базе искусственного интеллекта, за последние недели привлек к себе повышенное внимание. Однако исследования в области кибербезопасности выявили серьезные уязвимости, особенно в iOS-версии приложения.

 Источник изображения: winfuture

Проблемы с безопасностью передачи данных

Анализ компании NowSecure показал, что DeepSeek передает конфиденциальные данные пользователей в незашифрованном виде. Это позволяет потенциальным злоумышленникам перехватывать и изменять информацию, что ставит под угрозу безопасность пользователей.

Apple требует от разработчиков обеспечивать защищенную передачу данных через App Transport Security (ATS), но в случае с DeepSeek эта функция глобально отключена.

Связь с ByteDance и возможный сбор данных

Другой тревожный момент – передача пользовательских данных на серверы компании ByteDance, которая владеет TikTok.

• Хотя часть информации шифруется, после расшифровки она может сопоставляться с другими данными ByteDance.
• В политике конфиденциальности DeepSeek указано, что данные хранятся в Китае и могут передаваться государственным органам или третьим лицам.

Использование устаревших методов шифрования

Приложение использует устаревший алгоритм Triple-DES (3DES), который еще в 2016 году был признан небезопасным Национальным институтом стандартов и технологий США (NIST).

Дополнительная проблема – все криптографические ключи для iOS-версии одинаковы для всех пользователей и жестко зашиты в код приложения. Это делает систему уязвимой для атак.

Android-версия еще хуже

Разработчики NowSecure рекомендуют немедленно удалить приложение, независимо от платформы.

• По словам основателя NowSecure Эндрю Хуга, Android-версия DeepSeek содержит еще больше уязвимостей и представляет повышенную угрозу.

Другие обнаруженные риски

Кроме проблем с безопасностью передачи данных, исследователи из Cisco и Университета Пенсильвании выявили, что искусственный интеллект DeepSeek R1 уязвим к атакам через вредоносные запросы.

Также эксперты компании Wiz обнаружили незащищенную базу данных DeepSeek, в которой содержались:

• более миллиона чатов пользователей,
• API-ключи,
• внутренние конфиденциальные данные.

Выводы

Исследования показывают, что DeepSeek несет серьезные угрозы безопасности, а его пользователи рискуют утечкой своих данных. Эксперты настоятельно рекомендуют удалить приложение, чтобы избежать возможных атак и компрометации персональной информации.