Новите мобилни приложения на китайската компания за изкуствен интелект (AI) DeepSeek са в топ 3 на най-изтегляните безплатни приложения за устройства с Apple и Google от появата си на 25 януари 2025 г. до днес.
Експерти предупреждават за сериозни рискове за сигурността и поверителността предвид факта, че някои решения в дизайна на DeepSeek – като използването на hard-coded encryption keys и изпращането на нешифровани данни за потребителите и устройствата към китайски компании.
Какво е hard-coded encryption keys?
Hard-coded encryption keys означава, че ключът за криптиране е записан директно в кода на софтуера или приложението, вместо да бъде защитен или динамично генериран при изпълнение. Това представлява сериозен риск за сигурността, тъй като:
- Лесно може да бъде извлечен – Хакери могат да анализират кода (чрез reverse engineering) и да открият ключа.
- Не може да бъде променен лесно – Ако ключът е компрометиран, цялата система става уязвима, тъй като актуализацията изисква промяна в кода и повторно разпространение на софтуера.
- Излага чувствителни данни – Всеки, който разполага с този ключ, може да дешифрира защитената информация.
Този проблем е често срещан в приложения без необходимото ниво на сигурност, за разработването на които за улеснение са използвани hard-coded encryption keys, вместо по-сигурни методи, като динамично генерирани ключове или системи за управление на ключове (KMS).
Бързият възход на DeepSeek и нарастващите опасения
Приложенията на DeepSeek придобиха широка популярност след медийни репортажи, че е постигнат значителен прогрес при разработването на AI чат ботове, но с по-малко специализирани компютърни чипове, в сравненеи с водещите AI компании.
Към момента DeepSeek е третото най-сваляно „безплатно“ приложение в Apple Store и номер 1 в Google Play.
Този бърз ръст привлече вниманието на NowSecure – американска компания за мобилна сигурност, базирана в Чикаго. В анализ, публикуван днес, NowSecure препоръчва на организациите да премахнат DeepSeek iOS приложението поради сериозни опасения за сигурността.
Основателят на NowSecure, Андрю Хуг, заявява, че макар и все още да не са направили задълбочен анализ на версията за Android, няма причина да се смята, че основният дизайн на приложението се различава съществено от този за iOS.
Данни, събирани от DeepSeek и рискове за поверителността
Според анализа, приложението събира голямо количество информация за устройството на потребителя.
Една от функциите на DeepSeek може да идентифицира имената на устройствата, които често включват името на собственика (например John’s iPhone). Тази информация, комбинирана с IP адресите и данните от мобилни рекламни компании, може да бъде използвана за извличане на информация за потребителите, съответно – анонимността е мит.
Докладът разкрива, че DeepSeek комуникира с Volcengine – облачна платформа, разработена от ByteDance (собствениците на TikTok). Все още не е ясно дали това партньорство се ограничава само до използването на облачни услуги или включва споделяне на потребителски данни между двете компании.
Несигурни комуникации и уязвимости в криптирането
Едно от най-сериозните открития в доклада е, че iOS версията на DeepSeek предава информация за устройството без криптиране. Това означава, че данните могат да бъдат прихванати и модифицирани от всеки, който има достъп до мрежата, през която преминава трафикът на приложението.
„DeepSeek iOS глобално деактивира App Transport Security (ATS) – защитна функция на Apple, която предотвратява изпращането на чувствителни данни през незащитени канали“, се казва в доклада. „Тъй като тази защита е изключена, приложението изпраща нешифровани данни по интернет.“
Освен това, DeepSeek използва остарял и несигурен алгоритъм за криптиране – 3DES (Triple DES), който официално е отхвърлен за използване. Екипът на NowSecure открива, че ключовете за криптиране са hard-coded в самото приложение, което означава, че всеки с достъп до кода може да ги извлече.
Реакции и забрани на DeepSeek
Според Хуг, когато един екип demonstrira толкова sy]estweni basowi грешки в кодирането, това означава, че има още много проблеми в кода, които не са разкрити. Той допълва:
„Липсва какъвто и да е приоритет по отношение на сигурността или поверителността. Дали това е културен проблем, правителствена намеса или умишлено решение – това води до значителни пропуски в контрола върху сигурността и поверителността, което излага компаниите на риск.“
Много институции вече са взели мерки срещу DeepSeek. На 30 януари Axios съобщи, че службите на Конгреса на САЩ са били предупредени да не използват приложението.
„Заплахите вече се използват от злонамерени актьори, за да разпространяват зловреден софтуер и да заразяват устройства“, се казва в известие от администрацията на Камарата на представителите. „За да смекчим тези рискове, Камарата предприе мерки за сигурност, за да ограничи функционалността на DeepSeek на всички устройства, издадени от Камарата.“
Забрани в други държави и проблеми с базите данни
- Италия и Тайван вече забраниха DeepSeek поради съображения за сигурност, съобщава TechCrunch.
- Пентагонът блокира достъпа до приложението, съобщава Bloomberg.
- NASA и ВМС на САЩ също забраниха използването на DeepSeek, според CNBC.
Освен проблемите със сигурността на iOS приложението, DeepSeek може също да не защитава адекватно потребителските данни, които достъпва. На 29 януари изследователи от Wiz откриха публично достъпна база данни, свързана с DeepSeek, която разкрива огромен обем от чат хронология, бекенд данни и чувствителна информация, включително логове, API ключове и оперативни детайли.
„По-критичното е, че тази база данни позволява пълен контрол върху цялата информация, без никаква автентикация или защита“, казват от Wiz.
Журналистите от KrebsOnSecurity са потърсили официален коментар от DeepSeek и Apple, но към момента на публикацията няма отговор.
