Головна Штучний інтелект

DeepSeek з айфонів надсилає відкриті дані прямо на сервери ByteDance

4 хвилин читання

Застосунок DeepSeek AI Assistant для iOS, який став найпопулярнішим застосунком для айфонів в США, надсилає незашифровані дані прямо на сервери, контрольовані китайською ByteDance, власницею тіктока.

Про це повідомляє Ars Technica з посиланням на звіт кібербезпекової компанії NowSecure.

ШІ-асистент надсилає конфіденційні дані через незашифровані канали, роблячи дані доступними для читання будь-кому, хто може контролювати трафік. Маючи трохи часу і натхнення, зловмисники можуть перехопити і підробити дані під час передачі. 

Apple наполягає, щоб розробники застосунків для iPhone та iPad вмикали шифрування даних через ATS (App Transport Security). Проте в DeepSeek під iOS цей захист глобально вимкнено в програмі.

Читайте також: Компанія Anthropic тимчасово зупинила роботу своїх нових моделей штучного інтелекту Claude Fable 5 та Mythos 5 після вимог американської влади, яка висловила занепокоєння щодо їхніх можливостей у сфері кібербезпеки.

І це не все. Дані йдуть на сервери, які контролюються китайцями з ByteDance – через інфраструктуру Volcengine, китайської хмарної платформи. Там їх можна легко прив’язати до даних користувачів, що зібрані в інших місцях, щоб ідентифікувати конкретних користувачів і потенційно відстежувати запити та інше використання.

Фахівці NowSecure виявили інші небезпечні моменти. Програма використовує симетричну схему шифрування, відому як 3DES або потрійний DES. Американський інститут стандартизації NIST забракував цю схему ще у 2016-му, коли дослідження показало, що її можна зламати атакою на веб-трафік і трафік VPN. Ба більше, в застосунку жорстко закодовані і зберігаються на пристрої ключи для симетричного шифрування.

Підписуйтеся на наші соцмережі

«Програма не обладнана або не хоче забезпечувати базовий захист вашої інформації і особистих даних. Є основні правила безпеки, які не виконані, навмисно чи ненавмисно. Зрештою, це ставить під загрозу ваші дані і дані вашої компанії»
Співзасновник NowSecure Ендрю Гуг

Кіберфахівці рекомендують компаніям видаляти DeepSeek з айфонів і не тільки

NowSecure рекомендує організаціям видалити мобільний додаток DeepSeek для iOS з пристроїв, які мають доступ к бізнес-даним компаній через ризики конфіденційності та безпеки:

  • Проблеми конфіденційності через незахищену передачу даних
  • Проблеми з уразливістю через жорстко закодовані ключі симетричного шифрування
  • Обмін даними з третіми особами, такими як ByteDance
  • Аналіз та зберігання даних у Китаї

Застосунок DeepSeek для Android є навіть більш небезпечним, ніж аналог під iOS, і його також слід видалити.

DeepSeek одразу під час початкової реєстрації програми надсилає відкриті дані:

  • ідентифікатор організації
  • версія комплекту розробки програмного забезпечення, використаного для створення програми
  • версія ОС користувача
  • мова, вибрана в конфігурації

Apple наполегливо рекомендує розробникам застосовувати ATS, щоб гарантувати, що їхні додатки не передають жодних даних у небезпечних умовах через канали HTTP. 

В DeepSeek не пояснюють, чому в застосунку викнено захист ATS і чому він не використовує шифрування під час надсилання інформації.

Це не перша проблема безпеки даних в DeepSeek

Минулого тижня дослідники із Cisco і Університету Пенсільванії виявили, що модель DeepSeek R1 провалила на 100% захист проти 50 промтів, призначених для створення токсичного контенту.

Раніше безпекова фірма Wiz Reserve виявила витік 1 млн рядків історій чата з бази даних DeepSeek.

Інші матеріали

штучний інтелект Кібербезпека iOS ByteDance шифрування шифрування даних DeepSeek-R1 DeepSeek Редакція
Читати на speka.media