Специалисты компании NowSecure выявили критические уязвимости в системе безопасности мобильного приложения DeepSeek для iOS. Проведенный аудит показал, что приложение осуществляет передачу конфиденциальных данных пользователей без надлежащего шифрования, что создает серьезные риски для информационной безопасности.
Критические проблемы безопасности
Основной выявленной проблемой стало полное отключение системы App Transport Security (ATS) — встроенного механизма защиты iOS, предназначенного для предотвращения передачи конфиденциальной информации по незащищенным каналам. В результате такого отключения, приложение осуществляет передачу пользовательских данных в открытом виде, делая их уязвимыми для перехвата и несанкционированного доступа.
Недостатки в реализации шифрования
Исследование выявило существенные недочеты в системе шифрования пользовательских данных, включая:
— Использование устаревшего и небезопасного алгоритма шифрования 3DES
— Применение идентичных симметричных ключей для всех пользователей iOS
— Небезопасное хранение ключей шифрования непосредственно на устройствах
— Повторное использование векторов инициализации
Проблемы с обработкой данных
Особую обеспокоенность вызывает тот факт, что пользовательские данные передаются на серверы Volcano Engine, принадлежащие китайской компании ByteDance. Несмотря на частичное использование TLS-шифрования, после расшифровки на серверах существует риск объединения полученной информации с другими пользовательскими данными, что может привести к деанонимизации пользователей.
Международная реакция
В связи с выявленными рисками безопасности, ряд стран, включая Австралию, Италию, Нидерланды и Южную Корею, уже ввели запрет на использование DeepSeek на правительственных устройствах. Аналогичные меры приняты некоторыми государственными учреждениями в США и Индии.
Эксперты NowSecure настоятельно рекомендуют пользователям удалить приложение DeepSeek как с устройств iOS, так и с Android, поскольку оно не обеспечивает базовый уровень защиты персональных данных. Особую озабоченность вызывает тот факт, что версия для Android, по оценкам специалистов, имеет еще более серьезные проблемы с безопасностью.
