Famëmarrja e papritur e DeepSeek ka tërhequr vëmendjen e studiuesve të sigurisë. Pas zbulimit se kompania dërgon të dhënat e hyrjes në China Mobile, disa dobësi janë identifikuar nga NowSecure, duke përfshirë aplikacionin iOS që dërgon të dhëna në Kinë pa kriptim.
Server i kontrolluar nga ByteDance
Ekspertët e NowSecure zbuluan se aplikacioni iOS i DeepSeek transmeton të dhënat e përdoruesit dhe të pajisjes përmes internetit në tekst të qartë, kështu që mund të lexohen nga kushdo me një mjet monitorimi të trafikut. Apple ofron një veçori të Sigurisë së Transportit të Aplikacioneve që përdor TLS, por është çaktivizuar në aplikacion. Të dhënat mund të përgjohen dhe modifikohen me një sulm Man-in-the-Middle.
Studiuesit zbuluan gjithashtu se shumë të dhëna dërgohen në platformën cloud Volcengine të operuar nga ByteDance. Kjo i lejon përdoruesit të gjurmohen duke përdorur teknikën e gjurmëve të gishtërinjve. Ato dërgohen gjithashtu në Intercom, një kompani që ofron një SDK të integruar në aplikacionin iOS.
NowSecure zbuloi se emrat e përdoruesve, fjalëkalimet dhe çelësat e koduar ruhen në një bazë të dhënash lokale lehtësisht të aksesueshme. Një tjetër dobësi serioze është për shkak të përdorimit të algoritmit kriptografik 3DES, i konsideruar i vjetëruar nga NIST (Instituti Kombëtar i Standardeve dhe Teknologjisë) në 2016, pasi nuk ofron mbrojtje të duhur.
Studiuesit këshillojnë bizneset dhe agjencitë qeveritare që të bllokojnë menjëherë përdorimin e aplikacionit iOS sepse ai nuk ofron as mbrojtje minimale të sigurisë. Dy politikanë amerikanë do të paraqesin një projekt-ligj për të ndaluar DeepSeek nga pajisjet qeveritare.
Discussion about this post