Програму DeepSeek викрили у передачі конфіденційних даних без шифрування
9 февраля 2025
Мобильное приложение DeepSeek для Apple iOS отправляет конфиденциальные данные через интернет, подвергая их угрозе перехвата и манипуляций. Об этом сообщила компания NowSecure, специалисты которой провели аудит безопасности приложения и выявили несколько вопиющих проблем.
Источник изображений: nowsecure.com
Шифрование пользовательских данных при работе с приложением отличается серьёзными огрехами в реализации: используется небезопасный алгоритм симметричного шифрования 3DES, жёстко закодирован ключ шифрования, есть повторное использование векторов инициализации. Данные отправляются на серверы под управлением платформы облачных вычислений и хранения Volcano Engine, принадлежащей ByteDance (владеет TikTok). «В приложении DeepSeek для iOS глобально отключена App Transport Security (ATS) — защита на уровне платформы iOS, предотвращающая отправку конфиденциальных данных по незашифрованным каналам. Поскольку эта защита отключена, приложение может отправлять (и отправляет) незашифрованные данные через интернет», — отмечает NowSecure.
Специализирующаяся на кибербезопасности компания Check Point ранее сообщила о зафиксированных случаях, когда злоумышленники использовали ИИ-платформы DeepSeek, Alibaba Qwen и OpenAI ChatGPT для создания инструментов кражи данных, для генерации недопустимых материалов и оптимизации скриптов для рассылки спама. Сервис DeepSeek, кроме того, отправляет учётные данные пользователей в China Mobile — оператору, деятельность которого запрещена в США, сообщило Associated Press.
Китайские корни приложения уже побудили американских законодателей добиваться запрета использования DeepSeek на всех принадлежащих правительству устройствах — по их мнению, администрация сервиса может делиться информацией о пользователях с китайскими властями. Решение о запрете уже приняли в Австралии, Италии, Нидерландах, Южной Корее, Индии и на Тайване; в США сервис нельзя использовать на устройствах Конгресса, NASA, ВМС, Пентагона и штата Техас.
Взрыв популярности DeepSeek принёс некоторые проблемы и самому проекту: ему пришлось отбиваться от DDoS-атак, исходящих от ботнетов hailBot и RapperBot семейства Mirai. Бренд DeepSeek используется и в схемах, связанных с инвестиционным и криптовалютным мошенничеством, распространением вредоносного ПО, создаются поддельные страницы, имитирующие официальный сайт проекта.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Принцеса Беатріс показалася в глянці з 2-місячною донею, яка народилася передчасно 24 марта 2025
Онука королеви Єлизавети, принцеса Беатріс, яка нещодавно стала мамою вдруге, для британського Vogue розповіла про те, що її донечка Атіна народилася передчасно.
Помер Ларрі Темблін – ікона музики 60-х і автор хіта Dirty Water 24 марта 2025
Помер Ларрі Темблін – ікона музики 60-х і автор хіта Dirty Water, який потрапив у чарти Billboard Його пісня стала неофіційним гімном Бостона
ЗМІ дізналися, які вимоги Кремля гальмують угоду з Україною 24 марта 2025
Москва не має наміру відмовлятися від своїх планів захоплення українських територій. Тоді як вимога обмежити чисельність Збройних сил України розглядається як спроба Росії підготуватися до нового вторгнення.
4.9
