اپلیکیشن DeepSeek داده‌های حساس کاربران و دستگاه‌ها را بدون رمزگذاری منتقل می‌کند

یک ارزیابی جدید از اپلیکیشن موبایل DeepSeek برای سیستم‌عامل iOS اپل مشکلات امنیتی مهمی را نشان میدهد که مهم‌ترین آنها این است که داده‌های حساس را بدون هیچ‌گونه رمزگذاری به اینترنت ارسال می‌کند و آن‌ها را در معرض حملات رهگیری و مداخله در داده (interception) و دستکاری و ایجاد تغییر در داده (manipulation) قرار می‌دهد.

این ارزیابی توسط شرکت NowSecure انجام شده و حاکی از آن است که این اپلیکیشن از بهترین شیوه‌های امنیتی پیروی نمی‌کند و داده‌های گسترده‌ای از کاربران و دستگاه‌ها را جمع‌آوری می‌کند.

اپلیکیشن DeepSeek، که به نظر می‌رسد برای جستجو یا دسترسی به اطلاعات خاصی طراحی شده باشد، به دلیل انتقال داده‌های حساس کاربران و دستگاه‌ها بدون رمزگذاری مورد توجه قرار گرفته است. این نقص امنیتی می‌تواند منجر به افشای اطلاعات شخصی کاربران از جمله برخی از داده‌های ثبت‌نام اپلیکیشن موبایل، اطلاعات دستگاه‌، موقعیت جغرافیایی و سایر داده‌های حساس شود که در هنگام انتقال از طریق شبکه‌های ناامن یا حملات MitM (Man-in-the-Middle) قابل دسترسی است.

داده‌ها بدون استفاده از رمزگذاری، به‌راحتی برای مهاجمان قابل دسترس خواهند بود که این خود می‌تواند خطرات امنیتی جدی برای کاربران و سازمان‌ها به همراه داشته باشد و هرگونه داده موجود در ترافیک اینترنتی را در معرض حملات قرار ‌دهد. این اقدام، عدم رعایت استانداردهای امنیتی لازم را نشان می‌دهد که می‌تواند به نفوذ به اطلاعات شخصی و محرمانه منجر شود.

از این رو، برای محافظت از اطلاعات حساس، توصیه می‌شود که اپلیکیشن‌ها از روش‌های رمزگذاری معتبر مانند SSL/TLS به منظور اطمینان از ایمنی داده‌های منتقل شده استفاده کنند.

این تحلیل همچنین چندین نقطه ضعف را در پیاده‌سازی رمزگذاری بر روی داده‌های کاربران را آشکار می‌کند. این موارد عبارتند از:

• استفاده از الگوریتم رمزگذاری متقارن نامطمئن (3DES)
• استفاده از کلید رمزگذاری هاردکد شده
• استفاده مجدد از بردارهای اولیه

این مسائل امنیتی می‌توانند خطرات جدی ایجاد کنند، زیرا استفاده از الگوریتم‌های ضعیف یا بردارهای اولیه تکراری می‌تواند به راحتی توسط مهاجمان مورد سوءاستفاده قرار گیرد و داده‌های حساس کاربران را فاش کنند.

علاوه بر این، داده‌ها به سرورهایی ارسال می‌گردند که توسط پلتفرم پردازش و ذخیره‌سازی ابری به نام Volcano Engine  مدیریت می‌شوند، که متعلق به ByteDance است (یک شرکت چینی که اپلیکیشن TikTok را نیز مدیریت می‌کند).

شرکت NowSecure اذعان داشت که اپلیکیشن DeepSeek برای iOS به طور جهانی App Transport Security (ATS) را غیرفعال می‌کند. این ویژگی محافظت از سطح پلتفرم iOS است که مانع از ارسال داده‌های حساس از طریق کانال‌های غیر رمزگذاری شده می‌شود. از آنجا که این محافظت غیرفعال شده است، اپلیکیشن می‌تواند داده‌ها را بدون رمزگذاری از طریق اینترنت ارسال کند.

یافته‌های این تحلیل به فهرست رو به گسترشی از نگرانی‌ها اضافه می‌شود که در مورد سرویس‌های چت‌بات هوش مصنوعی (AI) ایجاد شده‌اند، حتی در حالی که این سرویس‌ها به سرعت به رتبه‌های بالا در فروشگاه‌های اپلیکیشن اندروید و iOS در چندین بازار جهانی دست یافته‌اند.