除了對(duì)DeepSeek發(fā)動(dòng)大規(guī)模黑客攻擊外�����,美國(guó)的網(wǎng)絡(luò)安全企業(yè)也沒有閑著�����,過去數(shù)日針對(duì)DeepSeek安全和隱私問題的“黑報(bào)告”接連出爐�。繼多倫多大學(xué)Citizen Lab聲稱“DeepSeek比TikTok更可怕,會(huì)不斷采集用戶聊天數(shù)據(jù)和個(gè)人信息”后��,總部位于芝加哥的移動(dòng)安全公司NowSecure近日發(fā)布了一份針對(duì)DeepSeek iOS應(yīng)用的深度安全與隱私評(píng)估報(bào)告��,聲稱DeepSeek的APP存在多個(gè)“嚴(yán)重漏洞”���,不僅威脅到個(gè)人用戶的數(shù)據(jù)安全���,也對(duì)企業(yè)和政府機(jī)構(gòu)構(gòu)成重大風(fēng)險(xiǎn)����。
以下�����,我們將報(bào)告的主要內(nèi)容編譯整理如下�����,不代表GoUpSec觀點(diǎn)����,僅供網(wǎng)絡(luò)安全行業(yè)人士參考:
報(bào)告強(qiáng)調(diào),DeepSeek iOS應(yīng)用在數(shù)據(jù)傳輸過程中未加密處理����,導(dǎo)致敏感信息極易被攔截和篡改。此外��,該應(yīng)用采用過時(shí)的加密算法(如Triple DES)并使用弱硬編碼密鑰,嚴(yán)重違反行業(yè)安全標(biāo)準(zhǔn)����。同時(shí),用戶名���、密碼和加密密鑰的存儲(chǔ)方式不安全��,進(jìn)一步增加了憑證被盜取的風(fēng)險(xiǎn)�����。更令人擔(dān)憂的是�,該應(yīng)用會(huì)收集大量用戶和設(shè)備信息���,并將數(shù)據(jù)傳輸至中國(guó)字節(jié)跳動(dòng)(ByteDance)控制的服務(wù)器��,引發(fā)政府訪問和合規(guī)性風(fēng)險(xiǎn)����。
數(shù)據(jù)暴露與不安全存儲(chǔ)的隱私問題
報(bào)告稱�����,深度分析發(fā)現(xiàn),DeepSeek iOS應(yīng)用未能保障用戶數(shù)據(jù)的基本安全性��。例如���,應(yīng)用在網(wǎng)絡(luò)傳輸過程中未對(duì)注冊(cè)信息和設(shè)備數(shù)據(jù)進(jìn)行加密����,攻擊者可利用這一漏洞實(shí)施被動(dòng)或主動(dòng)攻擊��,竊取用戶敏感信息����。此外�,NowSecure研究人員在設(shè)備上運(yùn)行并測(cè)試該應(yīng)用時(shí),發(fā)現(xiàn)其存儲(chǔ)機(jī)制極不安全��,用戶名��、密碼等關(guān)鍵憑據(jù)以明文形式存儲(chǔ)�����。
研究表明,該應(yīng)用默認(rèn)使用NSURLRequest API進(jìn)行緩存����,這意味著HTTP請(qǐng)求和響應(yīng)數(shù)據(jù)可能被存儲(chǔ)到本地緩存文件,攻擊者若獲得物理訪問權(quán)限���,即可輕松恢復(fù)這些數(shù)據(jù)�����。
報(bào)告稱�,DeepSeek應(yīng)用收集的用戶數(shù)據(jù)范圍廣泛�,不僅涉及操作系統(tǒng)信息、網(wǎng)絡(luò)配置����、用戶行為模式,還能通過外部數(shù)據(jù)源進(jìn)行用戶畫像分析���,形成精準(zhǔn)追蹤能力。這一情況與近年來數(shù)據(jù)經(jīng)紀(jì)人(如Gravy Analytics)泄露事件類似��,可能被用于更復(fù)雜的監(jiān)視和情報(bào)收集活動(dòng)��。
數(shù)據(jù)傳輸至字節(jié)跳動(dòng),合規(guī)性存疑
NowSecure研究人員發(fā)現(xiàn)�����,DeepSeek iOS應(yīng)用的數(shù)據(jù)傳輸目的地為字節(jié)跳動(dòng)旗下的云服務(wù)Volcengine���,盡管部分服務(wù)器位于美國(guó)�����,但其后臺(tái)數(shù)據(jù)鏈路仍與中國(guó)公司存在關(guān)聯(lián)�����。考慮到中國(guó)政府對(duì)數(shù)據(jù)訪問的法律要求����,DeepSeek用戶數(shù)據(jù)存在被國(guó)家機(jī)構(gòu)獲取的潛在風(fēng)險(xiǎn)。
iOS安全機(jī)制缺失����,加劇隱私風(fēng)險(xiǎn)
報(bào)告稱,DeepSeek iOS應(yīng)用不僅未能利用蘋果生態(tài)系統(tǒng)內(nèi)的安全防護(hù)措施��,反而主動(dòng)禁用了關(guān)鍵安全功能。例如���,它關(guān)閉了App Transport Security(ATS)���,允許未加密數(shù)據(jù)的傳輸。此外�,該應(yīng)用還訪問了多個(gè)隱私敏感API,包括系統(tǒng)啟動(dòng)時(shí)間�����、磁盤空間���、文件時(shí)間戳等����,可能被用于設(shè)備指紋識(shí)別和用戶追蹤�����。
應(yīng)用的隱私政策和服務(wù)條款亦顯示����,其數(shù)據(jù)收集策略寬泛�,用戶數(shù)據(jù)將受到外國(guó)法律管轄����,這進(jìn)一步加劇了數(shù)據(jù)濫用的可能性。
面對(duì)DeepSeek應(yīng)用的所謂“安全問題”���,NowSecure建議企業(yè)和政府機(jī)構(gòu)采取以下應(yīng)對(duì)措施:
立即禁用DeepSeek iOS應(yīng)用:在所有企業(yè)管理設(shè)備和BYOD環(huán)境中移除該應(yīng)用�����,以防止?jié)撛跀?shù)據(jù)泄露��。
選擇安全替代方案:探索安全性更高的人工智能平臺(tái)��,例如自托管版本或微軟等公司提供的可信AI解決方案�����。
強(qiáng)化移動(dòng)安全監(jiān)控:持續(xù)評(píng)估移動(dòng)應(yīng)用的安全性,防范新興網(wǎng)絡(luò)威脅���,確保符合數(shù)據(jù)安全和隱私保護(hù)法規(guī)���。
全球范圍內(nèi)�����,目前僅有美國(guó)為首的少數(shù)幾個(gè)國(guó)家和政府機(jī)構(gòu)對(duì)DeepSeek應(yīng)用采取限制措施��。包括澳大利亞��、意大利��、荷蘭��、韓國(guó)在內(nèi)的政府部門���,以及美國(guó)國(guó)會(huì)、NASA���、海軍�����、五角大樓�、德克薩斯州等政府機(jī)構(gòu)已禁止在官方設(shè)備上使用DeepSeek��。倫敦國(guó)王學(xué)院AI研究所顧問Lukasz Olejnik指出,2025年��,美國(guó)政府可能會(huì)針對(duì)中國(guó)AI公司展開更嚴(yán)格的制裁�����。
參考鏈接:
https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
閱讀原文:原文鏈接
該文章在 2025/2/10 9:57:08 編輯過
400 186 1886
