Эксперты по показателям безопасности обнаружили уязвимости в мобильных приложениях DeepSeek для iOS и Android. Согласно отчету компании, приложения не демонстрируют, по -видимому, злонамеренное поведение, но плохая защита данных и их агрессивная коллекция создают риски для пользователей.
Анализ версии приложения DeepSeek для Android показывает хранилище ключей API, паролей и токенов для аутентификации в некрифицированной форме, что делает несанкционированный доступ и захват учетных записей. В приложении также используется устаревший алгоритм шифрования DES, который уязвим для атак и подвергается риску инъекции SQL.
Одним из самых тревожных выводов является набор подробной информации об пользователях, включая текстовые и голосовые входы, историю чата, загруженные файлы, IP -адреса и данные модели устройства.
Исследователи обратили особое внимание на захват «динамики ключей» — технологии, которая отслеживает ритм и модели ввода текста, которые можно использовать для идентификации пользователей.
Кроме того, приложение намеренно мешает анализу кода, применяя ошибки против ошибок. При попытке исправить ошибки, приложение проверяет параметры для исправления системных ошибок и автоматически закрывается при их обнаружении, что нетипично для разработчиков, которые объявляют прозрачность своей работы.
Передача данных в Китай ставит особенно серьезные вопросы. Анализ кода показал, что использовались библиотеки и услуги, принадлежащие байедансу, что могло означать передачу данных в эту компанию. Это вызывает обеспокоенность по поводу соблюдения международных стандартов защиты данных, таких как GDPR и CCPA.
Кроме того, приложение требует доступа к Интернету, статусу смартфона и геолокации, которые расширяют возможности сбора информации. Анализ связанных внешних служб показывает использование третьих сторонных доменов с низкой безопасностью, что увеличивает риск утечки данных.
Заборы Деппер привели к запрету заявки в ряде стран. Штат Нью -Йорк недавно запретил установку DeepSeek на государственные устройства. Министерство обороны Южной Кореи блокирует доступ к обслуживанию офисных компьютеров. Такие решения уже были приняты Австралией, Италией и Тайваном. В Конгрессе США был представлен законопроект о запрете использования DeepSeek на государственных устройствах.
Ранее исследовательская группа Wiz нашла уязвимость к инфраструктуре DeepSeek. База данных Clickhouse Open позволила полный доступ к конфиденциальной информации, включая историю чата, секретные ключи и данные сервера.
