在DeepSeek App中禁用应用程序传输安全性(ATS)可显着增加与其使用相关的风险,尤其是与数据隐私和安全性有关的风险。这是对这些风险的详细说明:
1。未加密的数据传输:通过禁用ATS,DeepSeek允许通过未加密的通道传输敏感用户和设备数据。这意味着诸如注册信息和设备详细信息之类的数据无需任何加密即可发送,从而使其很容易被网络犯罪分子拦截。这种漏洞使用户遭受了被动攻击和主动攻击,攻击者不仅可以拦截,而且可以操纵正在传输的数据[3] [6] [9]。
2。中间人(MITM)攻击:由于ATS禁用而缺乏加密为中型攻击提供了一个简单的切入点。在此类攻击中,攻击者可以拦截和改变应用程序与其服务器之间的通信,可能导致数据盗窃或注射恶意内容[3]。
3。网络攻击的风险增加:DeepSeek已经面临着重要的网络攻击,并且禁用ATS加剧了这种脆弱性。通过允许未加密的HTTP流量,该应用程序变得更容易受到未来攻击的影响,因为攻击者可以利用缺乏安全措施来获得未经授权的访问对用户数据的访问[2] [3]。
4。数据隐私问题:DeepSeek收集了广泛的用户和设备数据,然后将其传输给由中国公司Bondedance管理的服务器。缺乏ATS意味着该数据是无加密的发送,引起了对数据隐私和第三方潜在滥用的严重关注,包括国家赞助的实体[2] [5] [9]。
5。弱加密实践:除了ATS问题之外,DeepSeek的加密方法也存在缺陷。该应用程序使用不安全的对称加密算法(3DES)带有硬编码键和重复使用的初始化向量,从而进一步削弱了用户数据的保护。这种不良的加密实践,加上缺乏ATS,使攻击者更容易解密和利用敏感信息[6] [9]。
总而言之,在DeepSeek中禁用ATS会增加网络犯罪分子的数据拦截,操纵和剥削的风险。它还强调了对数据隐私和安全性的更广泛的担忧,特别是考虑到该应用程序的广泛数据收集实践以及将数据传输到与中国实体相关的服务器。
引用:
[1] https://cocoacasts.com/the-definistive-guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-could-pould-have-the-the-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-part-46-app-transport-transport-security/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensive-user.html