Компанія NowSecure, що спеціалізується на безпеці мобільних додатків, виявила серйозні вразливості в системі захисту користувацьких даних додатку DeepSeek для iOS. Проведений security-аудит показав критичні недоліки в реалізації механізмів шифрування та передачі конфіденційної інформації.
Критичні порушення безпеки iOS-протоколів
Найсерйознішим виявленим недоліком стало повне відключення вбудованого механізму App Transport Security (ATS). Цей протокол є ключовим компонентом безпеки iOS, що забезпечує захищену передачу даних. Його деактивація призводить до того, що конфіденційна інформація користувачів передається у незахищеному вигляді, створюючи можливості для несанкціонованого перехоплення даних зловмисниками.
Застарілі методи криптографічного захисту
Аналіз криптографічної складової виявив низку критичних недоліків у системі шифрування:
– Використання застарілого алгоритму 3DES, який вже не відповідає сучасним вимогам безпеки
– Застосування однакових симетричних ключів для всіх користувачів платформи iOS
– Небезпечні практики зберігання криптографічних ключів безпосередньо на пристроях
– Повторне використання векторів ініціалізації, що суттєво знижує криптостійкість
Ризики обробки даних на серверах ByteDance
Особливе занепокоєння викликає передача користувацької інформації на сервери Volcano Engine, що належать китайській компанії ByteDance. Незважаючи на часткове використання TLS-шифрування при передачі, існують ризики деанонімізації користувачів через можливість об’єднання розшифрованих даних з іншою інформацією на серверах компанії.
Міжнародні обмеження використання
У відповідь на виявлені загрози безпеці, низка країн запровадила заборону на використання DeepSeek на урядових пристроях. До списку увійшли Австралія, Італія, Нідерланди та Південна Корея. Подібні обмеження також впроваджені окремими державними установами США та Індії.
Фахівці з кібербезпеки наполегливо рекомендують користувачам видалити DeepSeek як з пристроїв iOS, так і Android, оскільки додаток не забезпечує навіть базового рівня захисту персональних даних. За оцінками експертів, версія для Android має ще серйозніші проблеми безпеки, що створює додаткові ризики для користувачів обох платформ.
