DeepSeek iOS 앱에서 APTING 전송 보안 (ATS)을 비활성화하면 암호화되지 않은 데이터 전송을 허용하여 MITM (Man-in-the-Middle) 공격을 크게 용이하게합니다. 이 취약점을 이용할 수있는 방법은 다음과 같습니다.
1. 암호화되지 않은 데이터 전송 : ATS는 HTTPS 연결을 시행하도록 설계된 iOS 기능으로 인터넷을 통해 데이터를 안전하게 전송할 수 있습니다. ATS를 비활성화함으로써 DeepSeek을 통해 앱은 암호화되지 않은 HTTP 채널을 통해 데이터를 보낼 수 있습니다. 이는 앱과 DeepSeek의 서버간에 전송 된 모든 데이터가 네트워크를 제어하여 공격자가 가로 채고 읽을 수 있음을 의미합니다 [6] [8].
2. 중간의 공격 : MITM 공격에서 공격자는 사용자의 장치와 서버 사이에 자신을 배치합니다. 암호화되지 않은 데이터를 가로 채어 공격자는 민감한 정보를 읽을뿐만 아니라 수정할 수 있습니다. 이로 인해 사용자 계정에 대한 무단 액세스 또는 사용자와 앱간에 교환 된 데이터 조작이 발생할 수 있습니다 [1] [4].
3. 네트워크 취약점의 착취 : ATS가 비활성화되면 DeepSeek의 앱은 안전하지 않은 네트워크에 대한 공격에 더 취약 해집니다. 예를 들어, 사용자가 손상된 공개 Wi-Fi 네트워크에 연결하면 공격자는 앱에서 전송되는 데이터를 쉽게 가로 채고 조작 할 수 있습니다 [6] [8].
4. 데이터 노출 위험 증가 : 암호화 부족과 데이터를 가로 채는 기능으로 인해 공격자는 사용자 이름, 암호 또는 기타 개인 데이터와 같은 민감한 정보를 쉽게 얻을 수 있습니다. 이 정보는 신원 도용, 무단 액세스 또는 기타 악의적 인 활동에 사용될 수 있습니다 [1] [4].
5. 데이터 조작 가능성 : 데이터를 가로 채는 것 외에도 MITM 위치의 공격자는 전송되는 데이터를 수정할 수 있습니다. 이로 인해 사용자를 대신하여 무단 조치가 수행되거나 통신 스트림에 맬웨어가 도입 될 수 있습니다 [4] [6].
요약하면, DeepSeek 앱에서 ATS를 비활성화하면 암호화되지 않은 데이터 전송을 허용하여 공격자가 활용하여 민감한 사용자 데이터를 가로 채고 읽고 조작 할 수 있습니다. 이 취약점은 사용자가 MITM 공격에 더 취약하게 만들고 모바일 애플리케이션에서 강력한 보안 측정의 중요성을 강조합니다.
인용 :
[1] https://gizmodo.com/cybersecurity-experts-warn-of-deepseek-vulnerabilities- as-ban-app-2000561633
[2] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[3] https://www.strongdm.com/blog/man-in-the-middle-attack-prevention
[4] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-fipseek-ios-mobile-app/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-could-been-ted-miracco-iudyc
[7] https://www.computerweekly.com/news/366618596/deepseek-api-chat-log-oxposure-a-rookie-cyber-error
[8] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[9] https://www.memcyco.com/6-ways-to-prevent-man-in-the-middle-mitm-attacks/
[10] https://www.appdome.com/dev-sec-blog/how-enterprises-can-defend-gainst-deepseek-ai-mobile-security-threats/
[11] https://www.csis.org/analysis/delving-dangers-deepseek