DeepSeek iOSアプリのアプリTransport Security(ATS)を無効にすると、暗号化されていないデータ送信を許可することにより、Man-in-the-Middle(MITM)攻撃を大幅に促進します。この脆弱性を悪用する方法は次のとおりです。
1.暗号化されていないデータ送信:ATSは、HTTPS接続を実施するために設計されたiOS機能であり、データがインターネット上で安全に送信されるようにします。 ATSを無効にすることにより、DeepSeekを使用すると、アプリが暗号化されていないHTTPチャネルを介してデータを送信できます。これは、アプリとDeepSeekのサーバー間に送信されるデータは、ネットワークを制御して攻撃者が傍受して読むことができることを意味します[6] [8]。
2。中間の攻撃:MITM攻撃では、攻撃者がユーザーのデバイスとサーバーの間に位置します。暗号化されていないデータを傍受することにより、攻撃者は機密情報を読むだけでなく、それを変更することもできます。これにより、ユーザーアカウントへの不正アクセスや、ユーザーとアプリの間で交換されるデータの操作につながる可能性があります[1] [4]。
3.ネットワークの脆弱性の活用:ATSが無効になっている場合、DeepSeekのアプリは安全でないネットワークへの攻撃を受けやすくなります。たとえば、ユーザーが侵害されているパブリックWi-Fiネットワークに接続した場合、攻撃者はアプリによって送信されるデータを簡単に傍受して操作できます[6] [8]。
4.データ暴露のリスクの増加:暗号化の欠如とデータを傍受する能力により、攻撃者はユーザー名、パスワード、その他の個人データなどの機密情報を簡単に取得できます。この情報は、個人情報の盗難、不正アクセス、またはその他の悪意のある活動に使用できます[1] [4]。
5。データ操作の可能性:データの傍受を超えて、MITM位置の攻撃者は、送信されるデータを変更することもできます。これにより、ユーザーに代わって不正アクションが実行されるか、マルウェアが通信ストリームに導入される可能性があります[4] [6]。
要約すると、DeepSeekアプリのATSを無効にすると、暗号化されていないデータ送信を許可することにより、重大なセキュリティリスクが生じます。これは、攻撃者が悪用して、機密のユーザーデータを傍受、読み取り、操作できます。この脆弱性により、ユーザーはMITM攻撃の影響を受けやすくなり、モバイルアプリケーションにおける堅牢なセキュリティ対策の重要性を強調します。
引用:
[1] https://gizmodo.com/cybersecurity-experts-warn-of-deepseek-vulnerabilities-as-governments-ban-app-2000561633
[2] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[3] https://www.strongdm.com/blog/man-in-the-middle-attack-prevention
[4] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[5] https://securityscorecard.com/blog/a-deep-peek-deepseek/
[6] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-could-have-been-ted-miracco-iudyc
[7] https://www.computerweekly.com/news/366618596/deepseek-api-chat-log-exposure-a-rookie-cyber-error
[8] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-aip-app/
[9] https://www.memcyco.com/6-ways-to-prevent-man-in-the-middle-mitm-attacks/
[10] https://www.appdome.com/dev-sec-blog/how-enterprises-can-defend-against-deepseek-ai-mobile-security-threats/
[11] https://www.csis.org/analysis/delving-dangers-deepseek