iOS上的DeepSeek 在未经加密的情况下向中国的服务器发送数据

雅加达 - 一流受欢迎的iPhone AI应用程序DeepSeek被发现未经加密地将用户数据传输到中国公司拥有的服务器。此外,该应用程序还收集大量安全性较弱的用户数据。

DeepSeek是一款生成AI应用程序,类似于ChatGPT,自2025年1月推出以来,立即在美国App Store的下载榜上名列前茅。然而,现在开发该应用程序的中国AI初创公司正面临着与用户数据安全相关的重大丑闻。

NowSecure安全公司联合创始人Andrew Hoog表示,DeepSeek没有实施足够的安全实践。

“DeepSeek没有配备或不愿意为您的数据和身份提供基本保护,”Hoog告诉Ars Technica。“有些基本的安全实践是被忽视的,无论是有意还是无意。最终,这会损害用户及其公司的数据和身份。

这家总部位于芝加哥的安全公司在iOS版的DeepSeek应用程序上发现了各种安全问题,包括:

1. 敏感数据未经加密而发送.2. 不安全的用户数据保留.3. 大量收集用户和设备数据.4. 用户数据被发送到公司拥有的服务器中国.5. DeepSeek 使用过时加密和脆弱键

DeepSeek 使用加密虽然使用加密,但该应用程序仍然依赖于3DES算法,自2016年以来一直被宣布过时,因为它被证明可以很容易地被黑客入侵。

更糟糕的是,DeepSeek使用的3DES加密键原来是应用内硬码的。这意味着所有用户都使用相同的加密键,从而增加了数据泄漏的风险。

此外,DeepSeek还禁用了Apple的App Transport Security(ATS)安全协议,该协议应确保所有数据都以加密形式发送。到目前为止,DeepSeek尚未提供此安全功能被禁用的理由,而Apple也没有评论为什么该应用程序仍然在App Store上被允许。

数据发送到字节跳动拥有的服务器 后,母公司TikTok,加密被释放,数据可以原始形式访问。这意味着字节跳动可以完全访问用户信息,包括跟踪用户在应用中提交的活动和问题的潜力。

字节跳动在中国法律下运营,要求公司在被要求时向政府提供数据访问,因此这个问题更加令人担忧。这种情况类似于美国政府向字节跳动施压,要求出售TikTok,以避免中国当局可能滥用数据。

NowSecure还透露,DeepSeek应用程序的Android版本的安全系统比iOS版本更弱,尽管没有透露进一步的细节。

目前, NowSecure 仍在研究 DeepSeek 应用程序中的安全漏洞及其可能对用户的影响。到目前为止,苹果和DeepSeek 都尚未就这一发现作出正式回应。如果此事继续下去,苹果在App Store上审查此应用程序的许可证并非不可能。

已下载此应用程序的用户被建议重新考虑其使用,特别是对于关心个人数据安全的人。