雅加达 - 一流受欢迎的iPhone AI应用程序DeepSeek被发现未经加密地将用户数据传输到中国公司拥有的服务器。此外,该应用程序还收集大量安全性较弱的用户数据。
DeepSeek是一款生成AI应用程序,类似于ChatGPT,自2025年1月推出以来,立即在美国App Store的下载榜上名列前茅。然而,现在开发该应用程序的中国AI初创公司正面临着与用户数据安全相关的重大丑闻。
NowSecure安全公司联合创始人Andrew Hoog表示,DeepSeek没有实施足够的安全实践。
“DeepSeek没有配备或不愿意为您的数据和身份提供基本保护,”Hoog告诉Ars Technica。“有些基本的安全实践是被忽视的,无论是有意还是无意。最终,这会损害用户及其公司的数据和身份。
这家总部位于芝加哥的安全公司在iOS版的DeepSeek应用程序上发现了各种安全问题,包括:
1. 敏感数据未经加密而发送.2. 不安全的用户数据保留.3. 大量收集用户和设备数据.4. 用户数据被发送到公司拥有的服务器中国.5. DeepSeek 使用过时加密和脆弱键
DeepSeek 使用加密虽然使用加密,但该应用程序仍然依赖于3DES算法,自2016年以来一直被宣布过时,因为它被证明可以很容易地被黑客入侵。
更糟糕的是,DeepSeek使用的3DES加密键原来是应用内硬码的。这意味着所有用户都使用相同的加密键,从而增加了数据泄漏的风险。
此外,DeepSeek还禁用了Apple的App Transport Security(ATS)安全协议,该协议应确保所有数据都以加密形式发送。到目前为止,DeepSeek尚未提供此安全功能被禁用的理由,而Apple也没有评论为什么该应用程序仍然在App Store上被允许。
数据发送到字节跳动拥有的服务器 后,母公司TikTok,加密被释放,数据可以原始形式访问。这意味着字节跳动可以完全访问用户信息,包括跟踪用户在应用中提交的活动和问题的潜力。
字节跳动在中国法律下运营,要求公司在被要求时向政府提供数据访问,因此这个问题更加令人担忧。这种情况类似于美国政府向字节跳动施压,要求出售TikTok,以避免中国当局可能滥用数据。
NowSecure还透露,DeepSeek应用程序的Android版本的安全系统比iOS版本更弱,尽管没有透露进一步的细节。
目前, NowSecure 仍在研究 DeepSeek 应用程序中的安全漏洞及其可能对用户的影响。到目前为止,苹果和DeepSeek 都尚未就这一发现作出正式回应。如果此事继续下去,苹果在App Store上审查此应用程序的许可证并非不可能。
已下载此应用程序的用户被建议重新考虑其使用,特别是对于关心个人数据安全的人。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
