多個安全漏洞在DeepSeek iOS應用中被發現,包括發送未加密數據
近日,在DeepSeek iOS應用中發現了多個安全漏洞,這款應用在推出後迅速成為App Store中最受歡迎的下載之一。這些最新的發現比之前的安全失誤更為嚴重,之前的問題已經暴露了聊天記錄及其他敏感信息,並且該數據庫不需要身份驗證就能訪問。
DeepSeek的先前擔憂
雖然在DeepSeek引起頭條新聞之前我們已經提到過它,但對於大多數人來說,DeepSeek似乎是一夜之間出現的,迅速成為最受歡迎的iPhone應用。AI研究人員對這款擁有明顯較低硬件要求的應用能力感到震驚,這導致多家美國AI公司的股價大幅下跌。
然而,安全和隱私問題隨即浮現。意大利的隱私監管機構質疑該應用是否符合歐洲隱私法,而愛爾蘭也提出了類似的問題。美國官員也在調查潛在的國家安全影響。隨後發現,該公司不小心未能保護一個包含超過一百萬行日誌記錄的數據庫,其中包括聊天記錄和秘密密鑰。
DeepSeek iOS應用中的多個安全漏洞
移動安全公司NowSecure發現了DeepSeek iPhone應用中的多個安全漏洞,包括未能使用Apple內建的應用傳輸安全(ATS)系統。ATS旨在確保敏感的個人數據僅通過加密通道發送,但NowSecure發現DeepSeek已關閉了這一功能。
DeepSeek iOS應用在全球範圍內禁用了ATS,這是一項iOS平台級的保護措施,防止敏感數據通過未加密的通道發送。由於這一保護被禁用,該應用可以(並且確實會)通過互聯網發送未加密的數據。
該公司表示,雖然所暴露的數據看似無害,但可以輕易結合起來對用戶進行去匿名化。儘管這些數據單獨來看並不具有高風險,但隨著時間的推移,許多數據點的聚合很快會導致個體的輕易識別。最近Gravy Analytics的數據洩露事件就證明了這些數據正在大規模收集,並能有效地去匿名化數百萬人。
在數據加密方面,該公司使用了一種過時的加密方法,這種方法已知存在缺陷。該應用選擇的加密算法利用了一種已知的破損加密算法(3DES),這使其成為保護數據機密性的糟糕選擇。
此外,應用收集的數據可能被用來識別潛在的間諜目標。例如,一位用戶正在使用最新的iPad,並利用註冊於FirstNet(美國公共安全寬頻網絡運營商)的移動數據連接,這位用戶顯然會被視為高價值的間諜目標。
需要注意的是,DeepSeek iOS應用不僅收集了數十個數據點,還從數百萬個應用中收集了相關數據,這些數據可以輕易購買、結合,然後進行關聯分析以迅速去匿名化用戶。
分析結論指出,DeepSeek iOS應用不安全使用,並且Android版本的安全性更差。
9to5Mac的看法
儘管DeepSeek應用在技術上令人印象深刻,且其能力的測試很有趣,但我們仍然建議任何人不要使用它來進行涉及個人數據披露的實際任務。你應該假設DeepSeek能夠識別你並查看你的互動內容。
目前,安全研究人員對該應用的檢查仍處於相對早期階段,因此可能會揭示更多的安全和隱私問題。個人而言,我已經從我的iPhone中刪除了該應用,並建議其他人也這樣做。
這篇報導不僅揭示了DeepSeek應用的安全隱患,也反映出在科技迅速發展的當下,隱私和數據安全問題愈發重要。用戶在選擇應用時應更加謹慎,避免在不安全的環境下分享個人信息。隨著科技的進步,保護用戶數據的責任不僅在於公司,使用者自己也應提高警覺,確保自身的信息安全。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
