Tiktokの親会社であるBytedanceに保護されていないユーザーデータを送信する可能性があるため、Deepseek iOSアプリのセキュリティについて懸念が高まっています。
実際のiOSデバイスでDeepSeek iOSモバイルアプリの包括的なセキュリティとプライバシー評価を実施した米国に本拠を置くモバイルセキュリティ会社Nowsecureによると、アプリは、暗号化されていないデータ送信、弱いコード化された暗号化キー、不安定なデータストレージ、広範なデータストレージ、広範なデータストレージを使用していることがわかりました。収集とフィンガープリンティング、および暗号化されていないデータを中国に送信します。
NowSecureで強調された最初の重要な問題は、DeepSeek iOSアプリが暗号化なしでインターネット上でOMEモバイルアプリの登録とデバイスデータを送信し、傍受や操作に対して脆弱になっていることです。
たとえば、特権アクセスを持つネットワーク攻撃者(一般的に中間攻撃として知られています)は、データを傍受して変更し、アプリの整合性とデータセキュリティを損なう可能性があります。
Appleには、開発者がこの欠陥を導入するのを防ぐためのプラットフォーム保護が組み込まれていますが、Nowsecureによると、DeepSeek iOSアプリの保護は世界的に無効にされました。
「ユーザーが最初にDeepSeek iOSアプリを起動すると、DeepSeekのバックエンドインフラストラクチャと通信してアプリケーションを構成し、デバイスを登録し、デバイスプロファイルメカニズムを確立します。ネットワークがモバイルアプリを積極的に攻撃するように構成されている場合でも(MITM攻撃を介して)、アプリは引き続きこれらの手順を実行して、データに対するパッシブ攻撃とアクティブな攻撃の両方を可能にします」ブログ投稿に書いた木曜日に公開。
最新のアプリは、データ暗号化を使用して機密性と整合性を保護します。これには、ユーザーデータを保護するために適切な実装が必要です。
ただし、このアプリは、安全でない対称暗号化アルゴリズム(3DE)、初期化ベクトル、およびハードコード暗号化キーに依存して、最良のセキュリティ慣行に違反します。
さらに、DeepSeek iOSアプリは、ユーザー名、パスワード、暗号化キーを不確実に保存し、資格盗難のリスクを高めます。このアプリは、追跡と匿名化に使用できるユーザーとデバイスのデータも収集します。
さらに、このアプリは、構成ID、デバイスOSバージョン、構成で選択された言語など、数十のデータポイントを使用します。 Nowsecureは、2021年にBytedanceによってリリースされたクラウドサービスプラットフォームであるVolcengineによってユーザーデータがサーバーに送信されることに注目しています。
条例は中国の法律に準拠しているため、集めたデータを中国政府と共有することを余儀なくされる可能性があり、アプリを利用する企業や政府の主要な監視とコンプライアンスの懸念を提起します。
「DeepSeek iOSアプリは、暗号化されていないチャネルで機密データが送信されるのを防ぐIOSプラットフォームレベル保護であるAPP Transport Security(ATS)をグローバルに無効にします。この保護は無効になっているため、アプリはインターネット上で暗号化されていないデータを送信することができます(および行う)」とNowsecureは付け加えました。
Nowsecureは、ユーザーがiPhoneからDeepSeekを迅速に削除して、セキュリティとプライバシーを保護することを示唆しています。
また、エンタープライズと機関は、マネージドおよびBYOD環境からDeepSeek Mobile IOSアプリをすぐに削除し、モバイルセキュリティとデータ保護に優先する代替AI(人工知能)プラットフォームを検討し、新しいリスクについてモバイルアプリケーションを継続的に監視することを推奨しています。
