iOSのDeepSeekは中国のサーバーに暗号化なしでデータを送信します

ジャカルタ - 一般的なiPhoneAIアプリケーションDeepSeekは、暗号化なしで中国企業のサーバーにユーザーデータを送信していることが判明しました。さらに、このアプリケーションは、セキュリティが弱く保存されている大量のユーザーデータも収集します。

DeepSeekはChatGPTに似たジェネレーティブAIアプリケーションであり、2025年1月の発売以来、米国のApp Storeダウンロードチャートのトップに立っています。しかし、現在、このアプリケーションを開発した中国のAIスタートアップは、ユーザーデータのセキュリティに関する大規模なスキャンダルに直面しています。

セキュリティ会社NowSecureの共同設立者であるAndrew Hoog氏によると、DeepSeekは適切なセキュリティ慣行を実施していません。

「DeepSeekは、あなたのデータとアイデンティティの基本的な保護を装備していないか、提供したくありません」とフッグはArs Technicaに語った。「意図的であろうとなかろうと、無視されている基本的なセキュリティ慣行があります。結局、ユーザーとその会社のデータとアイデンティティを危険にさらします。

シカゴに本拠を置くセキュリティ会社は、DeepSeekアプリのiOS版で、以下を含むさまざまなセキュリティ問題を発見しました。

1.機密データは暗号化なしで送信されます。ユーザーデータの安全でないストレージ。ユーザーとデバイスデータの大量の収集。ユーザーデータは中国企業が所有するサーバーに送信されます。DeepSeek 古い暗号化と脆弱なキーを使用する

DeepSeekは暗号化を使用していますが、アプリは依然として3DESアルゴリズムに依存しており、簡単にハッキングできることが証明されているため、2016年以来時代遅れであると宣言されています。

さらに悪いことに、DeepSeekが使用する3DES暗号化キーは、アプリケーションでハードコード化されていることが判明しました。これは、すべてのユーザーが同じ暗号化キーを使用しているため、データ漏洩のリスクがさらに高まります。

さらに、DeepSeekはAppleのApp Transport Security(ATS)セキュリティプロトコルも無効にし、すべてのデータが暗号化された形で送信されるようにするはずでした。これまで、DeepSeekはこのセキュリティ機能が無効になった理由を提供していませんが、AppleはApp Storeでこのアプリがまだ許可されている理由についてもコメントしていません。

データがTikTokの親会社であるByteDanceのサーバーに送信されると、暗号化が削除され、元の形式でデータにアクセスできます。これは、ByteDanceがアプリ上でユーザーが提出したアクティビティや質問を追跡する可能性など、ユーザー情報に完全にアクセスできることを意味します。

ByteDanceが中国の法律の下で運営されており、要求に応じて政府にデータアクセスを提供することを企業に要求していることを考えると、この問題はさらに懸念される。この状況は、米国政府が中国当局による潜在的なデータ誤用を避けるためにTikTokを販売するようByteDanceに圧力をかける原因と似ています。

NowSecureはまた、DeepSeekアプリのAndroidバージョンはiOSバージョンよりもセキュリティシステムが弱いことを明らかにしたが、詳細は明らかにされていない。

現在、NowSecureは、DeepSeekアプリに存在するセキュリティギャップと、ユーザーへの影響の可能性をまだ調査中です。これまで、AppleもDeepSeekも、この発見に関する公式の回答を提供していない。この問題が続く場合、AppleがApp Storeでこのアプリの権限を見直すことは不可能ではありません。

アプリをダウンロードしたユーザーは、特に個人データのセキュリティを気にするユーザーのために、アプリの使用を再考することをお勧めします。