Cybersecurity-Experten von NowSecure haben bei einer detaillierten Sicherheitsanalyse der DeepSeek iOS-App mehrere kritische Schwachstellen aufgedeckt. Die Untersuchung offenbart gravierende Mängel im Datenschutz, die die Privatsphäre der Nutzer erheblich gefährden können.
Deaktivierung essentieller Sicherheitsmechanismen
Eine besonders besorgniserregende Entdeckung ist die vollständige Deaktivierung des App Transport Security (ATS) Systems. Dieser in iOS integrierte Schutzmechanismus soll standardmäßig die sichere Übertragung sensibler Daten gewährleisten. Durch seine Abschaltung werden Nutzerdaten unverschlüsselt übertragen, wodurch sie anfällig für Man-in-the-Middle-Angriffe und unbefugte Zugriffe werden.
Veraltete Verschlüsselungsmethoden gefährden Datensicherheit
Die Analyse deckte mehrere kritische Schwachstellen in der Implementierung der Datenverschlüsselung auf:
– Einsatz des als unsicher geltenden 3DES-Verschlüsselungsalgorithmus
– Verwendung identischer Verschlüsselungsschlüssel für alle iOS-Nutzer
– Ungeschützte Speicherung von Kryptographie-Schlüsseln auf den Endgeräten
– Mehrfachverwendung von Initialisierungsvektoren, die die Verschlüsselung schwächen
Problematische Datenverarbeitung auf ByteDance-Servern
Besondere Bedenken entstehen durch die Übermittlung von Nutzerdaten an die Volcano Engine-Server von ByteDance. Trotz partieller TLS-Verschlüsselung besteht nach der serverseitigen Entschlüsselung ein erhebliches Risiko der Datenkorrelation und möglichen De-Anonymisierung von Nutzern.
Internationale Sicherheitsmaßnahmen
Als Reaktion auf die identifizierten Sicherheitsrisiken haben bereits mehrere Länder, darunter Australien, Italien, die Niederlande und Südkorea, die Nutzung von DeepSeek auf Regierungsgeräten untersagt. Ähnliche Restriktionen wurden auch von Behörden in den USA und Indien implementiert.
Aufgrund der identifizierten Sicherheitsmängel empfehlen Cybersecurity-Experten dringend die Deinstallation der DeepSeek-App von allen mobilen Endgeräten. Die Android-Version der Anwendung weist nach ersten Analysen sogar noch gravierendere Sicherheitslücken auf. Nutzer sollten bis zur Behebung der Schwachstellen auf alternative, sicherere Anwendungen ausweichen und ihre Datensicherheit durch regelmäßige Sicherheitsüberprüfungen ihrer mobilen Geräte gewährleisten.
