HackerNews 编译,转载请注明出处:
一项针对DeepSeek苹果iOS版移动应用的最新审计发现,该应用存在严重安全漏洞,最主要的问题是其在网络传输过程中未对敏感数据进行加密,可能导致数据被拦截或篡改,带来安全隐患。
此次评估由网络安全公司NowSecure进行,审计结果显示,DeepSeek应用不仅未遵循最佳安全实践,还收集了大量用户和设备数据。
“DeepSeek iOS应用在互联网传输部分注册信息和设备数据时未进行加密,”NowSecure指出,“这使得这些数据在网络流量中暴露于被动和主动攻击之下。”
进一步拆解分析表明,该应用在用户数据加密方面存在多个安全漏洞,包括使用不安全的对称加密算法(3DES)、硬编码的加密密钥以及重复使用初始化向量(IV),增加了数据泄露的风险。
此外,DeepSeek的数据传输至由字节跳动旗下云计算和存储平台Volcano Engine管理的服务器,而字节跳动正是TikTok的母公司。
“DeepSeek iOS应用完全禁用了iOS平台级别的安全防护机制——App Transport Security(ATS),该机制旨在防止敏感数据通过未加密渠道传输。”NowSecure警告称,“由于该防护被关闭,应用会在互联网上传输未加密的数据。”
这一发现进一步加剧了外界对该人工智能(AI)聊天机器人服务的担忧。尽管DeepSeek在多个市场迅速登顶iOS和Android应用商店榜单,但其安全性问题仍然备受争议。
网络安全公司Check Point的报告显示,黑客正利用DeepSeek的AI引擎,以及阿里巴巴Qwen和OpenAI ChatGPT,开发信息窃取工具、生成不受限制的内容,并优化大规模垃圾信息分发的脚本。
“随着攻击者运用越狱等高级技术绕过防护措施,开发信息窃取软件、进行金融诈骗和垃圾邮件分发,企业亟需实施主动防御措施,以应对AI技术被滥用带来的安全威胁。”Check Point表示。
本周早些时候,美联社披露,DeepSeek官方网站将用户登录信息发送至中国移动,而该公司已被美国政府禁止在美运营。
与TikTok类似,DeepSeek的中国背景引发美国政界担忧,部分议员正推动在政府设备上全面禁用该应用,理由是其可能向中国政府提供用户数据。
值得注意的是,澳大利亚、意大利、荷兰、台湾和韩国等多个国家,以及印度和美国的政府机构(包括国会、NASA、海军、五角大楼和德州政府)均已禁止在政府设备上使用DeepSeek。
与此同时,DeepSeek的迅速走红也让其成为恶意攻击的目标。中国网络安全公司XLab向《环球时报》透露,该应用上月底遭遇了持续性的分布式拒绝服务(DDoS)攻击,攻击源包括Mirai僵尸网络hailBot和RapperBot。
此外,网络犯罪分子也在利用DeepSeek的热度设立仿冒页面,传播恶意软件、虚假投资骗局和加密货币诈骗,进一步加剧了该应用面临的安全风险。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
