Išjungus programų transporto saugumą (ATS) „Deepseek“ programoje, žymiai padidėja rizika, susijusi su jo naudojimu, ypač susijusi su duomenų privatumu ir saugumu. Štai išsamus šios rizikos paaiškinimas:
1. Neįšifruotas duomenų perdavimas: Išjungus ATS, „DeepSeek“ leidžia perduoti neskelbtinus vartotojo ir įrenginio duomenis per nešifruotus kanalus. Tai reiškia, kad tokie duomenys kaip registracijos informacija ir informacija apie įrenginį siunčiami be jokio šifravimo, todėl kibernetiniai nusikaltėliai juos lengvai sulaiko. Šis pažeidžiamumas sukelia vartotojams tiek pasyvius, tiek aktyvius ataka, kai užpuolikai gali ne tik perimti, bet ir manipuliuoti perduodamais duomenimis [3] [6] [9].
2. Esant tokioms atakoms, užpuolikas gali perimti ir pakeisti programos ir jos serverių ryšį, potencialiai sukeldamas duomenų vagystę arba kenksmingo turinio injekciją [3].
3. Padidėjusi kibernetinių išpuolių rizika: „Deepseek“ jau susidūrė su dideliais kibernetinėmis puolimais, o ATS išjungimas padidina šį pažeidžiamumą. Leisdama nešifruoti HTTP srautą, programa tampa jautresnė būsimoms atakoms, nes užpuolikai gali išnaudoti saugumo priemonių trūkumą, kad gautų neteisėtą prieigą prie vartotojo duomenų [2] [3].
4. Duomenų privatumo rūpesčiai: „Deepseek“ renka išsamius vartotojo ir įrenginių duomenis, kurie vėliau perduodami serveriams, kuriuos valdo Kinijos įmonė „Bytedance“. ATS nebuvimas reiškia, kad šie duomenys siunčiami be šifravimo, keliant rimtą susirūpinimą dėl duomenų privatumo ir galimo piktnaudžiavimo trečiųjų šalių, įskaitant valstybės remiamus subjektus [2] [5] [9].
5. Silpna šifravimo praktika: Be ATS leidimo, „Deepseek“ šifravimo metodai taip pat yra ydingi. Programoje naudojamas nesaugus simetriškas šifravimo algoritmas (3DES) su kietais kodais ir pakartotinai naudojamais inicijavimo vektoriais, dar labiau susilpnindama vartotojo duomenų apsaugą. Ši prasta šifravimo praktika kartu su ATS trūkumu leidžia užpuolikams lengviau iššifruoti ir išnaudoti neskelbtiną informaciją [6] [9].
Apibendrinant galima pasakyti, kad išjungus ATS „Deepseek“, padidėja duomenų perėmimo, manipuliavimo ir kibernetinių nusikaltėlių išnaudojimo rizika. Tai taip pat pabrėžia platesnį susirūpinimą dėl duomenų privatumo ir saugumo, ypač atsižvelgiant į didelę programos duomenų rinkimo praktiką ir duomenų perdavimą serveriams, susietiems su Kinijos subjektais.
Citatos:
[1] https://cocoacasts.com/the-ty---definitive-guide-to-app-ransport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-faiures-how-approov-could-have-prevented-the-mage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html