Приложение DeepSeek для iOS отправляет данные без шифрования на серверы, управляемые компанией ByteDance.

Более двух недель назад малоизвестная китайская компания DeepSeek удивила мир искусственного интеллекта выпуском открытого исходного кода чат-бота, который обладал способностями симулировать логическое мышление на уровне лидеров рынка, таких как OpenAI. В течение нескольких дней приложение помощника DeepSeek поднялось на вершину категории «Бесплатные приложения» в App Store для iPhone, обойдя ChatGPT.

В четверг компания NowSecure, специализирующаяся на мобильной безопасности, сообщила о том, что приложение отправляет конфиденциальные данные через незащищенные каналы, что позволяет любому, кто может отслеживать трафик, читать эти данные. Более опытные злоумышленники также могут изменять передаваемые данные во время их перемещения. Apple настоятельно рекомендует разработчикам для iPhone и iPad использовать ATS (App Transport Security) для шифрования данных, отправляемых по сети. По неизвестным причинам эта защита отключена в приложении DeepSeek.

Кроме того, данные передаются на серверы, контролируемые ByteDance — китайской компанией, владеющей TikTok. Хотя некоторые из этих данных правильно шифруются с использованием транспортного слоя безопасности (TLS), после расшифровки на серверах, управляемых ByteDance, они могут быть связаны с данными пользователей, собранными в других местах, что позволяет идентифицировать конкретных пользователей и потенциально отслеживать запросы и другую активность.

Базовые меры безопасности отсутствуют, что представляет серьезную угрозу конфиденциальности пользовательских данных.