Deaktivace zabezpečení transportu aplikací (ATS) v aplikaci DeepSeek výrazně zvyšuje rizika spojená s jeho používáním, zejména pokud jde o ochranu osobních údajů a zabezpečení dat. Zde je podrobné vysvětlení těchto rizik:
1. Nešifrované přenos dat: DeepsSeek deaktivace ATS umožňuje přenos citlivých dat uživatele a zařízení přes nešifrované kanály. To znamená, že data, jako jsou údaje o registraci a údaje o zařízení, jsou odesílána bez šifrování, což je snadno zachycené kybernetickými zločinci. Tato zranitelnost vystavuje uživatele jak pasivním, tak aktivním útokům, kde útočníci mohou nejen zachytit, ale také manipulovat s přenášenými údaji [3] [6] [9].
2. Útoky člověka (MITM): Nedostatek šifrování v důsledku postižení ATS vytváří snadný vstupní bod pro útoky člověka-in-the the-Middle. Při takových útocích může útočník zachytit a změnit komunikaci mezi aplikací a jejími servery, což může vést k krádeži dat nebo injekci škodlivého obsahu [3].
3. zvýšené riziko kybernetických útoků: Deepseek již čelil významným kybernetickým útokům a deaktivaci ATS prohlubuje tuto zranitelnost. Povolením nešifrovaného provozu HTTP se aplikace stává náchylnější k budoucím útokům, protože útočníci mohou využít nedostatek bezpečnostních opatření k získání neoprávněného přístupu k uživatelským datům [2] [3].
4. Obavy na ochranu osobních údajů: DeepSeek shromažďuje rozsáhlá data uživatele a zařízení, která se poté přenášejí na servery spravované Breathance, čínskou společností. Absence ATS znamená, že tato data jsou odesílána bez šifrování a vyvolávají vážné obavy ohledně ochrany osobních údajů a potenciálním zneužití třetími stranami, včetně státu sponzorovaných subjektů [2] [5] [9].
5. Slabé šifrovací postupy: Kromě problému ATS jsou také chybné šifrovací metody Deepseeka. Aplikace používá nejistý symetrický šifrovací algoritmus (3DES) s pevně zakódovanými klíči a opětovným použitím inicializačních vektorů, což dále oslabuje ochranu uživatelských dat. Tato špatná šifrovací praxe v kombinaci s nedostatkem ATS usnadňuje útočníkům dešifrování a využívání citlivých informací [6] [9].
Stručně řečeno, deaktivace ATS v Deepseek zvyšuje riziko zachycení dat, manipulace a vykořisťování kybernetickými zločinci. Zdůrazňuje také širší obavy ohledně ochrany osobních údajů a zabezpečení dat, zejména s ohledem na rozsáhlé postupy sběru dat aplikace a přenos dat na servery propojené s čínskými subjekty.
Citace:
[1] https://cocoacasts.com/the-definitive-Guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-nangers
[3] https://approov.io/blog/deepseek-apps-security-failures-approov--Could-preventent-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/Delving-Dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-cransmits-sensitive-user.html