O uso do algoritmo 3DES no aplicativo Deepseek apresenta riscos de segurança significativos devido à sua natureza desatualizada e insegura. Aqui estão os riscos detalhados associados ao uso do 3DES:
1. Insegurança dos 3DEs: o algoritmo de criptografia triplo DES (3DES) é amplamente considerado inseguro e depreciado. Era uma vez um padrão para criptografia de dados seguros, mas foi substituída por algoritmos mais seguros, como o AES devido às suas vulnerabilidades. O uso do 3DES torna os dados criptografados suscetíveis à descriptografia pelos invasores, comprometendo a privacidade do usuário e a integridade dos dados [2] [4] [9].
2. Chaves de criptografia codificadas: A implementação do 3DES pela Deepseek envolve chaves de criptografia de codificação no código do aplicativo. Essa prática é altamente insegura porque permite que os invasores em potencial extraem essas chaves do aplicativo, obtendo o acesso para descriptografar qualquer dados criptografado com eles. As teclas codificadas eliminam os benefícios de segurança da criptografia, pois podem ser facilmente descobertos e explorados [4] [9] [10].
3. Reutilização de vetores de inicialização (IVs): a reutilização de vetores de inicialização (IVs) em conjunto com o 3DES enfraquece ainda mais a criptografia. Os IVs devem ser únicos para cada operação de criptografia para evitar ataques que dependem de padrões em dados criptografados. A reutilização de IVs facilita para os invasores deduzir a chave de criptografia ou explorar fraquezas no processo de criptografia [1] [9].
4. Exposição e manipulação de dados: como o Deepseek também desativa a segurança do transporte de aplicativos (ATS) no iOS, o que impede que dados sensíveis sejam enviados por canais não criptografados, o aplicativo transmite alguns dados sem qualquer criptografia. Isso expõe os usuários a ataques passivos e ativos, onde os dados podem ser interceptados e manipulados [1] [7] [10].
5. Soberania de privacidade e dados: A transmissão de dados do usuário para servidores gerenciados pela Bytedance, uma empresa chinesa, levanta preocupações sobre a governança de dados sob a jurisdição chinesa. Isso inclui o potencial de vigilância sem garantia e uso indevido de dados, que são riscos significativos de privacidade para os usuários [5] [6].
Em resumo, o uso do 3DES na Deepseek, combinado com teclas codificadas e IVs reutilizados, prejudica significativamente a segurança e a privacidade dos dados do usuário. Essas vulnerabilidades tornam o aplicativo um alvo para ameaças cibernéticas e violações de dados, destacando a necessidade de práticas de criptografia mais robustas e melhor governança de dados.
Citações:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-s-ios-pp-26774442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-ofdeepseek-r1/
[4] https://www.linkedin.com/pulse/encrypion-crisis-ai-lensons-from-deepseeks-security-filurs-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ios
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://apaproov.io/blog/deepseek-apps-security-dailures-ow-aproov-carould-have-prevened-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/