NowSecure обнаружили критические уязвимости в iOS-приложении DeepSeek
Компания NowSecure, специализирующаяся на безопасности мобильных приложений, опубликовала тревожный отчет о критических уязвимостях в iOS-версии популярного AI-сервиса DeepSeek. Находки экспертов особенно важны на фоне стремительного роста популярности приложения – за 20 дней после запуска оно набрало более 22 миллионов активных пользователей и заняло первое место в App Store 157 стран.
Основные проблемы безопасности
Исследователи выявили несколько серьезных уязвимостей:
1. Передача незашифрованных данных
- Приложение отправляет конфиденциальную информацию через интернет без шифрования
- Данные могут быть перехвачены и изменены злоумышленниками
- В приложении отключена встроенная защита iOS (App Transport Security)
2. Небезопасное шифрование
- Использование устаревшего алгоритма шифрования Triple DES
- Жестко закодированные ключи шифрования в коде приложения
- Повторное использование векторов инициализации
3. Небезопасное хранение данных
- Незащищенное хранение имен пользователей и паролей
- Кэширование конфиденциальных данных в открытом виде
- Риск кражи учетных данных при физическом доступе к устройству
4. Сбор и отправка данных
- Масштабный сбор информации о пользователе и устройстве
- Передача данных на серверы в Китае
- Возможность деанонимизации пользователей
Риски для пользователей и организаций
Выявленные проблемы создают серьезные риски:
- Утечка интеллектуальной собственности и конфиденциальной информации
- Компрометация целостности данных из-за уязвимостей безопасности
- Слежка и наблюдение через сбор данных
- Потеря контроля над данными, отправляемыми в Китай
Рекомендации по безопасности
Эксперты рекомендуют следующие меры:
1. Немедленно удалить iOS-приложение DeepSeek с корпоративных и личных устройств
2. Использовать локальное развертывание модели DeepSeek через Hugging Face или другие платформы
3. Рассмотреть альтернативные AI-сервисы с лучшей защитой данных
4. Регулярно проводить аудит безопасности используемых мобильных приложений
Важно отметить, что проблемы безопасности не связаны с самой языковой моделью DeepSeek, а касаются только мобильного приложения. При локальном развертывании модели эти риски можно полностью исключить.
Ситуация с DeepSeek показывает, как важно уделять внимание безопасности даже при использовании популярных приложений из официальных магазинов. App Store не гарантирует полное отсутствие уязвимостей, и пользователям следует критически оценивать риски, особенно когда речь идет о конфиденциальных данных.