Wyłączanie bezpieczeństwa transportu aplikacji (ATS) w aplikacji Deepseek znacznie zwiększa ryzyko związane z jej wykorzystaniem, szczególnie w zakresie prywatności i bezpieczeństwa danych. Oto szczegółowe wyjaśnienie tych zagrożeń:
1. Niezasifrowana transmisja danych: Wyłączając ATS, DeepSeek umożliwia transmisję poufnych danych użytkownika i urządzenia na niezaszyfrowane kanały. Oznacza to, że dane takie jak informacje o rejestracji i szczegóły urządzenia są wysyłane bez żadnego szyfrowania, co czyni je łatwo przechwytującymi przez cyberprzestępcy. Ta podatność naraża użytkowników zarówno na ataki pasywne, jak i aktywne, w których atakujący mogą nie tylko przechwycić, ale także manipulować przesyłane dane [3] [6] [9].
2. Ataki Man-in-the-The-Middle: Brak szyfrowania z powodu wyłączania ATS tworzy łatwy punkt wejścia dla ataków man-in-thetdle. W takich atakach atakujący może przechwycić i zmieniać komunikację między aplikacją a jej serwerami, potencjalnie prowadząc do kradzieży danych lub wstrzyknięcia złośliwej treści [3].
3. Zwiększone ryzyko cyberataków: Deepseek już miał do czynienia z znaczącymi cyberatakami, a wyłączenie ATS zaostrza tę podatność. Umożliwiając niezaszyfrowany ruch HTTP, aplikacja staje się bardziej podatna na przyszłe ataki, ponieważ atakujący mogą wykorzystać brak środków bezpieczeństwa w celu uzyskania nieautoryzowanego dostępu do danych użytkownika [2] [3].
4. Obawy dotyczące prywatności danych: Deepseek zbiera obszerne dane użytkownika i urządzenia, które są następnie przesyłane na serwery zarządzane przez Bytedance, chińską firmę. Brak ATS oznacza, że dane te są wysyłane bez szyfrowania, podnosząc poważne obawy dotyczące prywatności danych i potencjalnego niewłaściwego użycia przez strony trzecie, w tym podmioty sponsorowane przez państwo [2] [5] [9].
5. Słabe praktyki szyfrowania: Oprócz problemu ATS metody szyfrowania Deepseek są również wadliwe. Aplikacja korzysta z niepewnego algorytmu szyfrowania symetrycznego (3DES) z klawiszami za twardymi i ponownie wykorzystanymi wektorami inicjalizacyjnymi, dodatkowo osłabiając ochronę danych użytkownika. Ta słaba praktyka szyfrowania, w połączeniu z brakiem ATS, ułatwia atakującym odszyfrowanie i wykorzystanie wrażliwych informacji [6] [9].
Podsumowując, wyłączenie ATS w Deepseek zwiększa ryzyko przechwytywania danych, manipulacji i eksploatacji przez cyberprzestępcy. Podkreśla także szersze obawy dotyczące prywatności i bezpieczeństwa danych, szczególnie biorąc pod uwagę obszerne praktyki gromadzenia danych aplikacji i przekazywanie danych do serwerów powiązanych z chińskimi podmiotami.
Cytaty:
[1] https://cocoacasts.com/the-definitive-guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-lould-have-prevent-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-feek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html