إن تعطيل أمان نقل التطبيقات (ATS) في تطبيق Deepseek IOS يسهل بشكل كبير هجمات Man-in-Middle (MITM) من خلال السماح بنقل البيانات غير المشفر. إليك كيفية استغلال هذه الضعف:
1. نقل البيانات غير المشفر: ATS هي ميزة iOS مصممة لفرض اتصالات HTTPS ، مع التأكد من نقل البيانات بشكل آمن عبر الإنترنت. من خلال تعطيل ATS ، يسمح Deepseek لتطبيقه بإرسال البيانات عبر قنوات HTTP غير المشفرة. هذا يعني أنه يمكن اعتراض أي بيانات يتم نقلها بين التطبيق وخوادم Deepseek وقراءتها بواسطة مهاجم يتمتع بالتحكم في الشبكة [6] [8].
2. هجمات Man-in-Middle: في هجوم MITM ، يقوم المهاجم بوضع نفسه بين جهاز المستخدم والخادم. من خلال اعتراض البيانات غير المشفرة ، لا يمكن للمهاجم قراءة المعلومات الحساسة فحسب ، بل يمكن أيضًا تعديلها. قد يؤدي ذلك إلى الوصول غير المصرح به إلى حسابات المستخدمين أو معالجة البيانات المتبادلة بين المستخدم والتطبيق [1] [4].
3. استغلال نقاط الضعف في الشبكة: عندما يتم تعطيل ATS ، يصبح تطبيق Deepseek أكثر عرضة للهجمات على الشبكات غير الآمنة. على سبيل المثال ، إذا قام المستخدم بالاتصال بشبكة Wi-Fi العامة التي تتعرض للخطر ، فيمكن للمهاجم أن يعترض بسهولة البيانات التي يتم إرسالها بواسطة التطبيق [6] [8].
4. زيادة خطر التعرض للبيانات: إن عدم وجود تشفير والقدرة على اعتراض البيانات يسهل على المهاجمين الحصول على معلومات حساسة مثل أسماء المستخدمين أو كلمات المرور أو البيانات الشخصية الأخرى. يمكن استخدام هذه المعلومات لسرقة الهوية أو الوصول غير المصرح به أو غيرها من الأنشطة الضارة [1] [4].
5. إمكانية معالجة البيانات: إلى جانب مجرد اعتراض البيانات ، يمكن للمهاجم في موضع MITM أيضًا تعديل البيانات التي يتم إرسالها. قد يؤدي ذلك إلى إجراء إجراءات غير مصرح بها نيابة عن المستخدم أو إدخال البرامج الضارة في دفق الاتصالات [4] [6].
باختصار ، يخلق تعطيل ATS في تطبيق Deepseek مخاطر أمان كبيرة من خلال السماح بنقل البيانات غير المشفر ، والذي يمكن استغلاله من قبل المهاجمين لاعتراض بيانات المستخدم الحساسة والقراءة والتعامل معها. يجعل هذا الضعف للمستخدمين أكثر عرضة لهجمات MITM ويؤكد على أهمية التدابير الأمنية القوية في تطبيقات الأجهزة المحمولة.
الاستشهادات:
[1] https://gizmodo.com/cybersecurity-experts-warn-of-deepseek-vulnerabilities-as-governments-ban-app-2000561633
[2] https://www.bankinfosecurity.com/security-researchers-warn-new-new-ny-deepseek-ai-app-a-27486
[3] https://www.strongdm.com/blog/man-in-the-middle-athack-prevention
[4)
[5]
[6] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-lal-sould-have-been-ted-miracco-iudyc
[7] https://www.computerweekly.com/news/366618596/deepseek-api-chat-log-exposure-a-rookie-cyber-error
[8]
[9]
[10]
[11] https://www.csis.org/analysis/delving-dangers-deepseek