Приложение DeepSeek ведёт досье на каждого пользователя

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
0.jpg


Специалисты Security Scorecard обнаружили уязвимости в мобильных приложениях DeepSeek для iOS и Android. Согласно отчету компании, приложения не демонстрируют явного вредоносного поведения, но слабая защита данных и агрессивный сбор информации создают риски для пользователей.

Анализ Android-версии DeepSeek выявил хранение API-ключей, паролей и токенов аутентификации в незашифрованном виде, что делает возможным несанкционированный доступ и захват аккаунтов. Приложение также использует устаревший алгоритм шифрования DES, уязвимый к атакам, и подвержено риску SQL-инъекций.

Одной из самых тревожных находок стал сбор детализированной информации о пользователях, включая текст и голосовые вводы, историю чатов, загруженные файлы, IP-адреса и данные о модели устройства. Особое внимание исследователи уделили фиксации «динамики нажатий клавиш» — технологии, которая позволяет отслеживать ритм и паттерны ввода текста, что может использоваться для идентификации пользователей.

Кроме того, приложение намеренно мешает анализу кода, применяя методы антиотладки. При попытке отладки программа проверяет параметры отладки системы и при их обнаружении автоматически закрывается, что является нетипичным для разработчиков, декларирующих прозрачность своей работы.

Серьезные вопросы вызывает передача данных в Китай. Анализ кода показал использование библиотек и сервисов, принадлежащих ByteDance, что может означать передачу данных этой компании. Это вызывает беспокойство с точки зрения соответствия международным стандартам защиты информации, таким как GDPR и CCPA.

Кроме того, приложение запрашивает доступ к интернету, состоянию телефона и геолокации, что расширяет возможности сбора информации. Анализ подключаемых внешних сервисов выявил использование сторонних доменов с низким уровнем безопасности, что добавляет риски утечки данных.

Опасения по поводу DeepSeek привели к запретам на использование приложения в ряде стран. Недавно штат Нью-Йорк ввел запрет на установку DeepSeek на правительственных устройствах. Министерство обороны Южной Кореи заблокировало доступ к сервису на служебных компьютерах. Подобные решения уже приняли Австралия , Италия и Тайвань. А в Конгрессе США представлен законопроект, запрещающий использование DeepSeek на государственных устройствах.

Ранее команда Wiz Research выявила уязвимость в инфраструктуре DeepSeek. Открытая база данных ClickHouse позволяла получить полный доступ к конфиденциальной информации, включая историю чатов, секретные ключи и данные серверов.
 
Сверху