Una nueva auditoría de la aplicación móvil de Deepseek para el sistema operativo Apple iOS ha encontrado problemas de seguridad evidentes, lo más importante es que envía datos confidenciales a través de Internet sin cualquier cifrado, exponiéndolo a ataques de intercepción y manipulación.
La evaluación proviene de ahora seguridad, que también descubrió que la aplicación no se adhiere a las mejores prácticas de seguridad y que recopila datos extensos de usuarios y dispositivos.
“La aplicación Deepseek iOS envía un registro de aplicaciones móviles y datos de dispositivos a través de Internet sin cifrado”, la compañía dicho. “Esto expone cualquier dato en el tráfico de Internet a ataques pasivos y activos”.
El desmontaje también reveló varias debilidades de implementación cuando se trata de aplicar el cifrado en los datos del usuario. Esto incluye el uso de un algoritmo de cifrado simétrico inseguro (3DES), una clave de cifrado codificada y la reutilización de Vectores de inicialización.
Además, los datos se envían a los servidores administrados por una plataforma de almacenamiento y cómputo en la nube llamado Motor volcánpropiedad de Bytedance, la compañía china que también opera Tiktok.
“La aplicación Deepseek iOS deshabilita globalmente la seguridad de transporte de aplicaciones (ATS), que es una protección de nivel de plataforma iOS que evita que los datos confidenciales se envíen a través de canales no entrelazados”, dijo NowSecure. “Dado que esta protección está deshabilitada, la aplicación puede (y sí) enviar datos sin cifrar a través de Internet”.
Los hallazgos se suman a una lista creciente de preocupaciones Eso se ha elevado en torno al servicio de chatbot de inteligencia artificial (IA), incluso cuando se disparó hasta la cima de las listas de App Store en Android e iOS en varios mercados de todo el mundo.
La compañía de ciberseguridad, Check Point, dijo que observó instancias de actores de amenazas que aprovechan a los motores de IA de Deepseek, junto con Alibaba Qwen y Operai ChatGPT, para desarrollar robadores de información, generar contenido sin sentido o sin restricciones, y optimizar los scripts para la distribución de spam masa.
“As threat actors utilize advanced techniques like jailbreaking to bypass protective measures and develop info stealers, financial theft, and spam distribution, the urgency for organizations to implement proactive defenses against these evolving threats ensures robust defenses against potential misuse of AI technologies,” the company dicho.
A principios de esta semana, Associated Press reveló Ese sitio web de Deepseek está configurado para enviar información de inicio de sesión del usuario a China Mobile, una compañía de telecomunicaciones estatal que ha sido prohibida que opere en los Estados Unidos.
Los enlaces chinos de la aplicación, al igual que Tiktok, han llevado a los legisladores a los Estados Unidos a Empuje por una prohibición de todo el país En Deepseek de los dispositivos gubernamentales sobre los riesgos de que podría proporcionar información del usuario a Beijing.
Vale la pena señalar que varios países, incluidos AustraliaItalia, Países BajosTaiwán, y Corea del Sury agencias gubernamentales en la India y Estados Unidos, como el Congreso, la NASA, la Armada, el Pentágono y Texas, han instituido prohibiciones de los dispositivos gubernamentales.
La explosión de Deepseek en popularidad también lo ha llevado a luchar contra ataques maliciosos, con la firma china de ciberseguridad xlab narración Tiempos globales que el servicio ha sido sometido a ataques de denegación de servicio (DDoS) distribuidos sostenidos originados de Mirai Botnets Hailbot y Rapperbot a fines del mes pasado.
Mientras tanto, los cibercriminales son debilitante No hay tiempo Para capitalizar el frenesí que rodea a Deepseek para establecer páginas parecidas que propagan malware, estafas de inversión falsas y esquemas de criptomonedas fraudulentas.
About the Author
