Η απενεργοποίηση της ασφάλειας των μεταφορών εφαρμογών (ATS) στην εφαρμογή Deepseek αυξάνει σημαντικά τους κινδύνους που σχετίζονται με τη χρήση της, ιδιαίτερα όσον αφορά την ιδιωτική ζωή και την ασφάλεια των δεδομένων. Ακολουθεί μια λεπτομερής εξήγηση για αυτούς τους κινδύνους:
1. Μη κρυπτογραφημένη μετάδοση δεδομένων: Με την απενεργοποίηση του ATS, το Deepseek επιτρέπει τη μετάδοση ευαίσθητων δεδομένων χρήστη και συσκευών σε μη κρυπτογραφημένα κανάλια. Αυτό σημαίνει ότι τα δεδομένα όπως οι πληροφορίες εγγραφής και τα στοιχεία της συσκευής αποστέλλονται χωρίς καμία κρυπτογράφηση, καθιστώντας την εύκολα παρεκκλίσεις από τους κυβερνοεγκαταστάσεις. Αυτή η ευπάθεια εκθέτει τους χρήστες τόσο σε παθητικές όσο και σε ενεργές επιθέσεις, όπου οι επιτιθέμενοι μπορούν όχι μόνο να παρεμποδίσουν αλλά και να χειριστούν τα δεδομένα που μεταδίδονται [3] [6] [9].
2. Οι επιθέσεις Man-in-the-Middle (MITM): Η έλλειψη κρυπτογράφησης λόγω της απενεργοποίησης του ATS δημιουργεί ένα εύκολο σημείο εισόδου για τις επιθέσεις Man-in-the-Middle. Σε τέτοιες επιθέσεις, ένας εισβολέας μπορεί να παρακολουθεί και να μεταβάλλει την επικοινωνία μεταξύ της εφαρμογής και των διακομιστών της, που ενδεχομένως οδηγεί σε κλοπή δεδομένων ή την έγχυση κακόβουλου περιεχομένου [3].
3. Αυξημένος κίνδυνος cyberattacks: Το Deepseek έχει ήδη αντιμετωπίσει σημαντικές κυβερνοεπιπερίκευες και η απενεργοποίηση του ATS επιδεινώνει αυτή την ευπάθεια. Επιτρέποντας την μη κρυπτογραφημένη κυκλοφορία HTTP, η εφαρμογή γίνεται πιο επιρρεπής σε μελλοντικές επιθέσεις, καθώς οι επιτιθέμενοι μπορούν να εκμεταλλευτούν την έλλειψη μέτρων ασφαλείας για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα δεδομένα χρήστη [2] [3].
4. Ανησυχίες για την προστασία της ιδιωτικής ζωής: Η DeepSeeek συλλέγει εκτεταμένα δεδομένα χρήστη και συσκευών, τα οποία στη συνέχεια μεταδίδονται σε διακομιστές που διαχειρίζεται η ByTeDance, μια κινεζική εταιρεία. Η απουσία του ATS σημαίνει ότι τα δεδομένα αυτά αποστέλλονται χωρίς κρυπτογράφηση, δημιουργώντας σοβαρές ανησυχίες σχετικά με την ιδιωτική ζωή των δεδομένων και την πιθανή κατάχρηση από τρίτους, συμπεριλαμβανομένων των οντοτήτων που χρηματοδοτούνται από το κράτος [2] [5] [9].
5. Αδύναμες πρακτικές κρυπτογράφησης: Πέρα από το τεύχος ATS, οι μέθοδοι κρυπτογράφησης του Deepseek είναι επίσης λανθασμένες. Η εφαρμογή χρησιμοποιεί έναν ανασφαλές συμμετρικό αλγόριθμο κρυπτογράφησης (3DES) με πλήκτρα hardcoded και επαναχρησιμοποιημένους φορείς αρχικοποίησης, αποδυναμώνοντας περαιτέρω την προστασία των δεδομένων των χρηστών. Αυτή η κακή πρακτική κρυπτογράφησης, σε συνδυασμό με την έλλειψη ATS, διευκολύνει τους επιτιθέμενους να αποκρυπτογραφούν και να εκμεταλλευτούν ευαίσθητες πληροφορίες [6] [9].
Συνοπτικά, η απενεργοποίηση του ATS στο Deepseek αυξάνει τον κίνδυνο παρακολούθησης, χειραγώγησης και εκμετάλλευσης από τον κυβερνοχώρο. Επισημαίνει επίσης ευρύτερες ανησυχίες σχετικά με την ιδιωτική ζωή και την ασφάλεια των δεδομένων, ιδίως δεδομένου ότι οι εκτεταμένες πρακτικές συλλογής δεδομένων της εφαρμογής και η μετάδοση δεδομένων σε διακομιστές που συνδέονται με τις κινεζικές οντότητες.
Αναφορές:
[1] https://cocoacasts.com/the-definitive-guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html