IOS-приложение DeepSeek отправляет данные без шифрования на серверы, контролируемые ByteDance

Анонимный читатель Slashdot цитирует новую статью из Ars Technica:

В четверг компания NowSecure по безопасности мобильных устройств сообщила о том, что [DeepSeek] отправляет конфиденциальные данные через незашифрованные каналы связи, делая эти данные доступными для чтения любому, кто может мониторить трафик. Более продвинутые атакующие также могут изменять данные во время их передачи. Apple настоятельно рекомендует разработчикам iPhone и iPad использовать ATS (App Transport Security) для шифрования данных, отправляемых через интернет. По неизвестным причинам это защитное мероприятие глобально отключено в приложении, заявила NowSecure. Более того, данные отправляются на серверы, управляемые китайской компанией ByteDance, которая владеет TikTok.

[DeepSeek] "не оборудован и не готов предоставлять базовую защиту ваших данных и личности", заявил Андрей Гуг (Andrew Hoog), соучредитель NowSecure. "Существуют фундаментальные меры безопасности, которые игнорируются как намеренно, так и случайно. В конце концов, это ставит под угрозу ваши данные и данные вашей компании..."

Эти данные, вместе с различными другими зашифрованными данными, отправляются в [DeepSeek] через инфраструктуру, предоставленную Volcengine — облачной платформой, разработанной ByteDance. Хотя IP-адрес, к которому подключается приложение, локализуется в США и принадлежит компании Level 3 Communications с офисом в США, политика конфиденциальности [DeepSeek] ясно утверждает, что компания "хранит собранные данные на защищенных серверах, расположенных в Китае..."

Американские законодатели начали добиваться немедленного запрета использования [DeepSeek] на всех правительственных устройствах из-за опасений национальной безопасности, что Коммунистическая партия Китая могла построить заднюю дверь в сервис для доступа к конфиденциальным данным американцев. Если закон будет принят, [DeepSeek] может быть запрещён через 60 дней.