近日,外媒称DeepSeek应用在苹果iOS系统上的一项新审计中发现了严重的安全问题,其中最突出的是该应用在未加密的情况下通过互联网传输敏感数据,使其容易受到拦截和篡改攻击。
未加密传输与数据收集问题
此次评估由NowSecure进行,该公司还发现该应用未能遵循最佳安全实践,并收集了大量用户和设备数据。NowSecure表示:“DeepSeek iOS应用通过互联网传输部分移动应用注册和设备数据时未进行加密,这使得互联网流量中的任何数据都容易受到被动和主动攻击。”
此外,审计还揭示了在用户数据加密方面的几个实施弱点,包括使用不安全的对称加密算法(3DES)、硬编码的加密密钥以及初始化向量的重复使用。
数据流向与安全防护缺失
这些数据被发送到由字节跳动(ByteDance)旗下的云计算和存储平台“火山引擎”管理的服务器。字节跳动也是TikTok的母公司。NowSecure指出:“DeepSeek iOS应用全局禁用了应用传输安全(ATS),这是iOS平台的一项保护措施,旨在防止敏感数据通过未加密的通道传输。由于此保护被禁用,该应用可以通过互联网发送未加密的数据。”
这些发现进一步加剧了人们对这款人工智能聊天机器人服务的担忧。尽管DeepSeek在全球多个市场的Android和iOS应用商店排行榜上迅速攀升,但其安全问题却引发了广泛关注。
威胁行为者利用AI技术
网络安全公司Check Point表示,已观察到威胁行为者利用DeepSeek、阿里巴巴的Qwen以及OpenAI的ChatGPT等AI引擎开发信息窃取工具、生成未经审查或不受限制的内容,并优化大规模垃圾邮件分发的脚本。该公司强调:“随着威胁行为者利用越狱等先进技术绕过保护措施并开发信息窃取工具、金融盗窃和垃圾邮件分发,组织迫切需要实施主动防御,以应对这些不断演变的威胁,确保对AI技术潜在滥用的强大防御。”
国际禁令与恶意攻击
本周早些时候,美联社透露,DeepSeek的网站配置为将用户登录信息发送给中国移动,这家国有电信公司已被禁止在美国运营。与TikTok类似,DeepSeek的中国背景促使美国立法者推动在全国范围内禁止政府设备使用该应用。
包括澳大利亚、意大利、荷兰、韩国在内的多个国家,以及印度和美国的部分政府机构(如国会、NASA、海军、五角大楼和德克萨斯州)已禁止在政府设备上使用DeepSeek。
恶意攻击与仿冒页面
DeepSeek的迅速流行也使其成为恶意攻击的目标。中国网络安全公司XLab告诉《环球时报》,该服务在上个月底遭受了来自Mirai僵尸网络hailBot和RapperBot的持续分布式拒绝服务(DDoS)攻击。与此同时,网络犯罪分子正利用DeepSeek的热潮,迅速建立仿冒页面,传播恶意软件、虚假投资骗局和欺诈性加密货币计划。
来源:FreeBuf
安证艾普是深圳市安证企业合规管理(集团)有限公司旗下移动安全合规服务品牌
,集合了强大的APP技术平台和专家团队以及多年来监管部门支撑工作的经验。目前安证艾普包含
两大业务块(安全合规和安全服务)10+项服务
。
安证合规集团
全面支撑四部委(公安、工信、网信、教育)以及省、市APP安全合规监管治理工作、市授权的APP内容安全监测中心、教育部APP安全合规认证,加入工信部互联网协会移动互联网工作委员会、信通院APP安全合规支撑单位。参与APP个人信息、APP数据安全等方面标准和规范制定工作,获多个监管部门的认可及好评。每年要为政府、央企、大型私人企业等超2000家企业提供APP合规服务。
安证艾普APP安全合规一体化服务解决方案依托安证合规集团旗下深圳市网安计算机安全检测技术有限公司、广东安证计算机司法鉴定所和广东北源律师事务所提供的“网络安全+证据服务+数据治理”的强大支撑。
