DeepSeek存在五大安全漏洞,用户数据或被窃取
DeepSeek存在五大安全漏洞,用户数据或被窃取
近期,随着DeepSeek在iOS平台迅速走红并登上排行榜,其安全隐忧也逐渐浮出水面。知名移动应用安全公司NowSecure最新研究揭示了DeepSeek存在的五大安全漏洞,这些漏洞不仅威胁个人隐私,还可能对企业和政府机构造成严重影响。
DeepSeek存在五大安全隐私漏洞
DeepSeek于2025年1月25日起迅速成为iOS平台上最受欢迎的AI应用之一,全球已有数百万设备下载并使用。然而,随之而来的是对其安全性的广泛质疑。美国各级政府、军方及多个其他国家已对其发布禁用令。
NowSecure深入分析发现DeepSeek存在以下五个主要安全漏洞:
未加密数据传输:DeepSeek应用在传输敏感用户数据时未使用加密保护,使得这些信息容易遭受拦截和篡改。
弱加密与硬编码密钥:应用采用过时的Triple DES加密算法技术,并将加密密钥硬编码在应用中,严重违反安全性原则。
不安全的数据存储:用户名、密码和加密密钥等敏感信息存储方式不安全,增加了凭证被盗风险。
大规模数据收集与指纹识别:DeepSeek应用收集大量用户和设备数据,可能被用于追踪和去匿名化。
数据传输至中国服务器:DeepSeek将用户数据传输至ByteDance控制的服务器,面临政府存取风险与合规问题。
NowSecure创始人Andrew Hoog指出,DeepSeek的应用程序连最基本的安全防护都没有,这种疏忽可能导致用户或企业资料和身份遭受严重威胁。
DeepSeek正在大量收集和监控全球用户信息
DeepSeek应用存在多项安全漏洞,其中最值得关注的是完全停用了苹果内建的App Transport Security(ATS)安全加密机制,导致应用能够将未加密的数据传输到网络上,这可能也是刻意将资料回传中国服务器,以利进行分析监控。
ATS是iOS平台的一项关键安全功能,确保应用仅通过加密连接传输敏感个人信息。
NowSecure严重警告,即使这些数据单独看来可能不具高度风险,但长期积累确能够轻易拼凑出用户的完整身份信息。这种去匿名化技术在Gravy Analytics的数据外泄事件中已被证实可大范围运作,能够有效识别数百万名用户的实际身份。
即使在某些情境下DeepSeek对数据进行加密,该应用仍然使用已知存在漏洞的3DES(Triple DES)算法。该算法早已被认定为不安全,但DeepSeek仍然使用它来保护数据的机密性如同虚设。
NowSecure分析还证实,DeepSeek所收集的大数据可能被用于识别监控目标,并且能够追踪目标正在使用的工具和行为。例如,一位使用DeepSeek应用的用户可能正在使用最新款iPad设备,并通过FirstNet(美国公共安全专网)连接到移动数据,这类用户显然会成为高价值的情报目标。
更值得注意的是,DeepSeek不仅在iOS应用中收集数十种数据,还可能与来自数百万款应用的其他相关数据结合。通常,这些数据都很容易购买、汇总和交叉比对,就能快速去匿名化用户,进一步提高追踪和监控用户活动的能力。
对于DeepSeek数据都会回传储存在中国服务器,将再次出现类似TikTok争议,DeepSeek可能面临被迫向中国政府披露美国用户敏感信息的风险。
DeepSeek安全隐私与专家建议
DeepSeek的安全问题并非首例,过去也曾发生数据库重大漏洞,DeepSeek公司未能妥善保护包含超过百万余笔日志记录的数据库,其中包括聊天历史和密钥信息,造成未经授权的用户也能存取这些机密数据。
随着AI技术的快速发展和普及,类似的漏洞可能在其他AI应用中普遍存在。NowSecure网络安全专家呼吁,在采用新兴AI工具时,企业和个人用户都应更加谨慎,将数据安全置于首要位置。强烈建议企业和政府机构立即采取以下行动:
- 要求立即移除DeepSeek应用,无论是在管理设备(MDM)或员工自带设备(BYOD)上。
- 寻找替代AI平台,优先考虑具备更强大数据保护与安全性的解决方案。
- 持续监测所有移动应用,确保新出现的风险能够及时发现与应对。
当然,以上建议不仅针对企业和政府单位。虽然NowSecure主要针对DeepSeek iOS版本发现严重漏洞和隐私外泄问题,但DeepSeek的Android版本和网页版也可能存在相同的安全隐私疑虑,甚至可能在数据收集方式上更为严重。
资料来源:nowsecure