DeepSeekアプリのアプリTransport Security(ATS)を無効にすると、特にデータのプライバシーとセキュリティに関して、使用に関連するリスクが大幅に増加します。これらのリスクの詳細な説明は次のとおりです。
1.暗号化されていないデータ送信:ATSを無効にすることにより、DeepSeekは、暗号化されていないチャネル上で機密ユーザーとデバイスのデータを送信できます。これは、登録情報やデバイスの詳細などのデータが暗号化なしで送信されるため、サイバー犯罪者が簡単に傍受できるようにすることを意味します。この脆弱性により、ユーザーはパッシブ攻撃とアクティブな攻撃の両方にさらされ、攻撃者は傍受できるだけでなく、送信されるデータを操作できます[3] [6] [9]。
2。中間者(MITM)攻撃:ATSの無効化による暗号化の欠如は、中間の攻撃の簡単な入り口を作成します。このような攻撃では、攻撃者はアプリとそのサーバー間の通信を傍受して変更し、データの盗難または悪意のあるコンテンツの注入につながる可能性があります[3]。
3.サイバー攻撃のリスクの増加:DeepSeekはすでに重要なサイバー攻撃に直面しており、ATSの無効化によりこの脆弱性が悪化しています。暗号化されていないHTTPトラフィックを許可することにより、アプリは将来の攻撃の影響を受けやすくなります。攻撃者は、ユーザーデータへの不正アクセスを得るためにセキュリティ対策の欠如を活用できるためです[2] [3]。
4。データプライバシーの懸念:DeepSeekは、広範なユーザーとデバイスのデータを収集し、その後、中国企業であるBytedanceが管理するサーバーに送信されます。 ATSの欠如は、このデータが暗号化なしで送信されることを意味し、州が後援するエンティティを含む第三者によるデータプライバシーと潜在的な誤用に関する深刻な懸念を提起します[2] [5] [9]。
5.弱い暗号化の実践:ATS問題を超えて、Deepseekの暗号化方法も欠陥があります。このアプリは、ハードコーディングされたキーと再利用初期化ベクトルを備えた安全ではない対称暗号化アルゴリズム(3DE)を使用して、ユーザーデータの保護をさらに弱めます。 ATSの不足と組み合わされて、この暗号化の貧弱な慣行により、攻撃者は機密情報を復号化して悪用することが容易になります[6] [9]。
要約すると、DeepSeekのATSを無効にすると、サイバー犯罪者によるデータ傍受、操作、搾取のリスクが高まります。また、特にアプリの広範なデータ収集慣行と中国のエンティティにリンクされたサーバーへのデータの送信を考えると、データのプライバシーとセキュリティに関するより広範な懸念を強調しています。
引用:
[1] https://cocoacasts.com/the-definitive-guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-peek-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html