Дослідники компанії виявили серйозні проблеми безпеки та конфіденційності в популярному застосунку штучного інтелекту DeepSeek, повідомляє Yahoo Finance.
NowSecure, лідер у галузі досліджень і рішень для мобільної безпеки та конфіденційності, виявила кілька критичних вразливостей безпеки та конфіденційності в застосунку DeepSeek для iOS. Цей застосунок із кінця січня 2025 року очолює рейтинг застосунків ШІ.
Виявлені проблеми становлять значний ризик для підприємств, урядових установ, мільйонів користувачів, а також їхніх клієнтів і співробітників. Інші занепокоєння щодо безпеки моделі DeepSeek уже призвели до швидкої заборони в кількох країнах, федеральних відомствах та армії США.
Основні ризики для безпеки та конфіденційності
Фахівці NowSecure провели глибоку оцінку безпеки, яка виявила тривожні вразливості в застосунку DeepSeek для iOS, зокрема:
- Чутливі дані користувачів надсилаються через Інтернет без шифрування, що наражає їх на перехоплення і модифікацію через атаки MITM.
- Недосконала реалізація шифрування, зокрема використання застарілих алгоритмів (3DES), залишає дані користувачів без захисту.
- Імена користувачів, паролі та ключі шифрування зберігаються небезпечно, що робить їх вразливими до несанкціонованого доступу.
- Додаток передає дані на Volcengine — хмарну платформу, яку обслуговує ByteDance, що викликає занепокоєння стосовно нагляду без ордерів і регулювання даних за китайською юрисдикцією.
- Застосунок обходить захисні функції Apple, зокрема App Transport Security (ATS), і не має обов’язкових Privacy Manifests, що підвищує ризик відстеження і фінгерпринтингу.
Засновник NowSecure Ендрю Гуг повідомив KrebsOnSecurity, що вони поки не провели ґрунтовного аналізу DeepSeek для пристроїв Android, утім немає підстав вважати, що основний дизайн обох версій принципово відрізняється.
Гуг зазначив, що в застосунку DeepSeek для iOS є низка ознак, які свідчать про глибокі проблеми безпеки й конфіденційності. По-перше, йдеться про те, що застосунок збирає значний обсяг інформації про пристрій користувача.
«Вони роблять деякі дуже цікаві речі, які наближаються до розвиненої технології фінгерпринтингу пристроїв, — сказав Гуг, — зазначивши, що одна із функцій програми відстежує ім’я пристрою. Для багатьох пристроїв iOS це ім’я за замовчуванням містить прізвище або ім’я користувача й тип пристрою».
На думку NowSecure, така інформація, разом з IP-адресою користувача та даними, зібраними рекламними сервісами, може призвести до деанонімізації користувачів застосунку DeepSeek для iOS. У звіті йдеться про те, що DeepSeek взаємодіє з Volcengine — хмарною платформою, розробленою компанією ByteDance (відомою завдяки TikTok). Утім, NowSecure не має точних даних, чи DeepSeek просто використовує хмарний сервіс ByteDance, чи між ними відбувається ширший обмін інформацією.
Наслідки для бізнесу й урядів
Уразливості безпеки DeepSeek ставлять під загрозу інтелектуальну власність, корпоративні таємниці й національну безпеку. Здатність застосунку збирати й передавати чутливі дані третім сторонам, зокрема організаціям, пов’язаним із Китаєм, викликає серйозне занепокоєння у сфері кібербезпеки. З огляду на ці загрози підприємствам та урядовим відомствам рекомендується припинити користуватися додатком DeepSeek для iOS, доки проблеми не будуть усунені.
Рекомендації від NowSecure
З огляду на нагальність цих ризиків, NowSecure радить:
- Негайно припинити використання DeepSeek iOS App: Бізнесу і державним структурам варто відмовитися від застосунку, поки проблеми безпеки не будуть розв’язані.
- Оцінити альтернативні рішення на базі ШІ: Можна розглянути самостійне розгортання моделі ШІ DeepSeek або скористатися іншими інструментами зі зрілими системами безпеки та відповідності без ризикованого мобільного застосунку.
- Постійний моніторинг і тестування безпеки мобільних застосунків: З огляду на стрімку динаміку розвитку мобільних застосунків, організаціям потрібно запровадити безперервний моніторинг безпеки.
Окрім видалення застосунку DeepSeek для iOS, як окремим користувачам, так і компаніям чи держустановам варто зробити додаткові кроки для мінімізації ризиків. Через стрімкі оновлення мобільних додатків і їхню недостатньо захищену поверхню атаки вони становлять реальну загрозу для компаній і споживачів. Хоча DeepSeek є гучним прикладом, він не унікальний. Основний спосіб зменшити ризики — постійно відстежувати мобільні додатки, якими ви користуєтеся, щоб виявляти нові вразливості.
Читайте також на ProIT: DeepSeek допустила витік даних й опинилася під тиском регуляторів. Які ще ризики?
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
