網(wǎng)安公司下場抹黑!稱DeepSeek將數(shù)據(jù)傳回字節(jié)跳動服務(wù)器
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
除了對DeepSeek發(fā)動大規(guī)模黑客攻擊外,美國的網(wǎng)絡(luò)安全企業(yè)也沒有閑著,過去數(shù)日針對DeepSeek安全和隱私問題的“黑報告”接連出爐。繼多倫多大學(xué)Citizen Lab聲稱“DeepSeek比TikTok更可怕,會不斷采集用戶聊天數(shù)據(jù)和個人信息”后,總部位于芝加哥的移動安全公司NowSecure近日發(fā)布了一份針對DeepSeek iOS應(yīng)用的深度安全與隱私評估報告,聲稱DeepSeek的APP存在多個“嚴重漏洞”,不僅威脅到個人用戶的數(shù)據(jù)安全,也對企業(yè)和政府機構(gòu)構(gòu)成重大風(fēng)險。 以下,我們將報告的主要內(nèi)容編譯整理如下,不代表GoUpSec觀點,僅供網(wǎng)絡(luò)安全行業(yè)人士參考: 報告強調(diào),DeepSeek iOS應(yīng)用在數(shù)據(jù)傳輸過程中未加密處理,導(dǎo)致敏感信息極易被攔截和篡改。此外,該應(yīng)用采用過時的加密算法(如Triple DES)并使用弱硬編碼密鑰,嚴重違反行業(yè)安全標(biāo)準。同時,用戶名、密碼和加密密鑰的存儲方式不安全,進一步增加了憑證被盜取的風(fēng)險。更令人擔(dān)憂的是,該應(yīng)用會收集大量用戶和設(shè)備信息,并將數(shù)據(jù)傳輸至中國字節(jié)跳動(ByteDance)控制的服務(wù)器,引發(fā)政府訪問和合規(guī)性風(fēng)險。 數(shù)據(jù)暴露與不安全存儲的隱私問題 報告稱,深度分析發(fā)現(xiàn),DeepSeek iOS應(yīng)用未能保障用戶數(shù)據(jù)的基本安全性。例如,應(yīng)用在網(wǎng)絡(luò)傳輸過程中未對注冊信息和設(shè)備數(shù)據(jù)進行加密,攻擊者可利用這一漏洞實施被動或主動攻擊,竊取用戶敏感信息。此外,NowSecure研究人員在設(shè)備上運行并測試該應(yīng)用時,發(fā)現(xiàn)其存儲機制極不安全,用戶名、密碼等關(guān)鍵憑據(jù)以明文形式存儲。 研究表明,該應(yīng)用默認使用NSURLRequest API進行緩存,這意味著HTTP請求和響應(yīng)數(shù)據(jù)可能被存儲到本地緩存文件,攻擊者若獲得物理訪問權(quán)限,即可輕松恢復(fù)這些數(shù)據(jù)。 用戶追蹤與去匿名化風(fēng)險 報告稱,DeepSeek應(yīng)用收集的用戶數(shù)據(jù)范圍廣泛,不僅涉及操作系統(tǒng)信息、網(wǎng)絡(luò)配置、用戶行為模式,還能通過外部數(shù)據(jù)源進行用戶畫像分析,形成精準追蹤能力。這一情況與近年來數(shù)據(jù)經(jīng)紀人(如Gravy Analytics)泄露事件類似,可能被用于更復(fù)雜的監(jiān)視和情報收集活動。 數(shù)據(jù)傳輸至字節(jié)跳動,合規(guī)性存疑 NowSecure研究人員發(fā)現(xiàn),DeepSeek iOS應(yīng)用的數(shù)據(jù)傳輸目的地為字節(jié)跳動旗下的云服務(wù)Volcengine,盡管部分服務(wù)器位于美國,但其后臺數(shù)據(jù)鏈路仍與中國公司存在關(guān)聯(lián)。考慮到中國政府對數(shù)據(jù)訪問的法律要求,DeepSeek用戶數(shù)據(jù)存在被國家機構(gòu)獲取的潛在風(fēng)險。 iOS安全機制缺失,加劇隱私風(fēng)險 報告稱,DeepSeek iOS應(yīng)用不僅未能利用蘋果生態(tài)系統(tǒng)內(nèi)的安全防護措施,反而主動禁用了關(guān)鍵安全功能。例如,它關(guān)閉了App Transport Security(ATS),允許未加密數(shù)據(jù)的傳輸。此外,該應(yīng)用還訪問了多個隱私敏感API,包括系統(tǒng)啟動時間、磁盤空間、文件時間戳等,可能被用于設(shè)備指紋識別和用戶追蹤。 應(yīng)用的隱私政策和服務(wù)條款亦顯示,其數(shù)據(jù)收集策略寬泛,用戶數(shù)據(jù)將受到外國法律管轄,這進一步加劇了數(shù)據(jù)濫用的可能性。 面對DeepSeek應(yīng)用的所謂“安全問題”,NowSecure建議企業(yè)和政府機構(gòu)采取以下應(yīng)對措施:
結(jié)語:誰在封殺DeepSeek? 全球范圍內(nèi),目前僅有美國為首的少數(shù)幾個國家和政府機構(gòu)對DeepSeek應(yīng)用采取限制措施。包括澳大利亞、意大利、荷蘭、韓國在內(nèi)的政府部門,以及美國國會、NASA、海軍、五角大樓、德克薩斯州等政府機構(gòu)已禁止在官方設(shè)備上使用DeepSeek。倫敦國王學(xué)院AI研究所顧問Lukasz Olejnik指出,2025年,美國政府可能會針對中國AI公司展開更嚴格的制裁。 參考鏈接: https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/ 閱讀原文:原文鏈接 該文章在 2025/2/10 9:57:08 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
