Специалисты Security Scorecard обнаружили уязвимости в мобильных приложениях DeepSeek для iOS и Android. Согласно отчету компании, приложения не демонстрируют явного вредоносного поведения, но слабая защита данных и агрессивный сбор информации создают риски для пользователей.
Анализ Android-версии DeepSeek выявил хранение API-ключей, паролей и токенов аутентификации в незашифрованном виде, что делает возможным несанкционированный доступ и захват аккаунтов. Приложение также использует устаревший алгоритм шифрования DES, уязвимый к атакам, и подвержено риску SQL-инъекций.
Одной из самых тревожных находок стал сбор детализированной информации о пользователях, включая текст и голосовые вводы, историю чатов, загруженные файлы, IP-адреса и данные о модели устройства. Особое внимание исследователи уделили фиксации «динамики нажатий клавиш» — технологии, которая позволяет отслеживать ритм и паттерны ввода текста, что может использоваться для идентификации пользователей.
Кроме того, приложение намеренно мешает анализу кода, применяя методы антиотладки. При попытке отладки программа проверяет параметры отладки системы и при их обнаружении автоматически закрывается, что является нетипичным для разработчиков, декларирующих прозрачность своей работы.
Серьезные вопросы вызывает передача данных в Китай. Анализ кода показал использование библиотек и сервисов, принадлежащих ByteDance, что может означать передачу данных этой компании. Это вызывает беспокойство с точки зрения соответствия международным стандартам защиты информации, таким как GDPR и CCPA.
Кроме того, приложение запрашивает доступ к интернету, состоянию телефона и геолокации, что расширяет возможности сбора информации. Анализ подключаемых внешних сервисов выявил использование сторонних доменов с низким уровнем безопасности, что добавляет риски утечки данных.
Опасения по поводу DeepSeek привели к запретам на использование приложения в ряде стран. Недавно штат Нью-Йорк ввел запрет на установку DeepSeek на правительственных устройствах. Министерство обороны Южной Кореи заблокировало доступ к сервису на служебных компьютерах. Подобные решения уже приняли Австралия , Италия и Тайвань. А в Конгрессе США представлен законопроект, запрещающий использование DeepSeek на государственных устройствах.
Ранее команда Wiz Research выявила уязвимость в инфраструктуре DeepSeek. Открытая база данных ClickHouse позволяла получить полный доступ к конфиденциальной информации, включая историю чатов, секретные ключи и данные серверов.