Az App Transport Security (ATS) letiltása a DeepSeek alkalmazásban jelentősen növeli a felhasználáshoz kapcsolódó kockázatokat, különös tekintettel az adatvédelemre és a biztonságra. Itt található a kockázatok részletes magyarázata:
1. Nem titkosítatlan adatátvitel: Az ATS letiltásával a DeepSeek lehetővé teszi az érzékeny felhasználói és eszközadatok továbbítását a titkosítatlan csatornákon keresztül. Ez azt jelenti, hogy az olyan adatokat, mint például a regisztrációs információk és az eszköz részletei titkosítás nélkül kerülnek elküldésre, így a számítógépes bűnözők könnyen elfoghatók. Ez a sebezhetőség a felhasználókat passzív és aktív támadásokhoz vezeti, ahol a támadók nemcsak elfoghatják, hanem manipulálhatják az átadott adatokat is [3] [6] [9].
2. A középső ember (MITM) támadások: Az ATS-fogyatékosság miatti titkosítás hiánya egyszerű belépési pontot hoz létre a közepes közepes támadásokhoz. Az ilyen támadások során a támadó elfoghatja és megváltoztathatja az alkalmazás és a szerverek közötti kommunikációt, potenciálisan adatlopáshoz vagy rosszindulatú tartalom injekciójához vezethet [3].
3. A kibertámadások fokozott kockázata: A DeepSeek már jelentős kibertámadásokkal szembesült, és az ATS letiltása súlyosbítja ezt a sebezhetőséget. A titkosítatlan HTTP forgalom engedélyezésével az alkalmazás hajlamosabbá válik a jövőbeli támadásokra, mivel a támadók kihasználhatják a biztonsági intézkedések hiányát a felhasználói adatokhoz való jogosulatlan hozzáférés elérése érdekében [2] [3].
4. Adatvédelmi Adatokkal kapcsolatos aggályok: A DeepSeek kiterjedt felhasználói és eszközadatokat gyűjt, amelyeket ezután továbbítanak a Bytedance, egy kínai vállalat által kezelt szervereknek. Az ATS hiánya azt jelenti, hogy ezeket az adatokat titkosítás nélkül továbbítják, komoly aggodalmakat vetnek fel az adatvédelem és a harmadik felek esetleges visszaélése miatt, ideértve az állami támogatott szervezeteket is [2] [5] [9].
5. Gyenge titkosítási gyakorlatok: Az ATS -kérdésen túl a DeepSeek titkosítási módszerei szintén hibásak. Az alkalmazás nem biztonságos szimmetrikus titkosítási algoritmust (3DE) használ, kemény kódolású kulcsokkal és újrahasznált inicializálási vektorokkal, tovább gyengítve a felhasználói adatok védelmét. Ez a rossz titkosítási gyakorlat, az ATS hiányával kombinálva, megkönnyíti a támadók számára az érzékeny információk visszafejtését és kihasználását [6] [9].
Összefoglalva: az ATS letiltása a DeepSeek -ben növeli az adatok lehallgatásának, manipulációjának és kizsákmányolásának kockázatát a számítógépes bűnözők által. Ezenkívül kiemeli az adatvédelmi és biztonsággal kapcsolatos szélesebb körű aggodalmakat, különös tekintettel az alkalmazás kiterjedt adatgyűjtési gyakorlataira és az adatok átadására a kínai entitásokhoz kapcsolódó szerverekre.
Idézetek:
[1] https://cocoacasts.com/the-definitive-guide-topp-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-pproov-could-have-prevened-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/IOS-Application-security-PART-46-App-Transport-Security/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html