Alarme Deepseek L'application iOS envoie des données claires aux serveurs contrôlés par chinois

Alarme Deepseek L’application iOS envoie des données claires aux serveurs contrôlés par chinois

ParSteven de Simseo

Deepseek a surpris le monde de l’IA avec la libération d’un Chatbot open source équipé d’une capacité de raisonnement simulé, largement égale à celle du leader du marché Openai. Dans quelques jours, l’application de l’assistant Deepseek a atteint le sommet de la catégorie « application gratuite » de l’iPhone App Store, surmonter également Chatte.

Mais ce ne sont pas toutes des roses et des fleurs … le 6 février, la société de sécurité mobile NowSeCure rapporté que L’application envoie des données sensibles sur les canaux non cryptés, ce qui les rend lisibles à tous ceux qui sont en mesure de surveiller le trafic. Les attaquants les plus sophistiqués pourraient aussi Faculter des données en transit.

Engagement de données handicapées Deepseek dans le monde dans l’application

Pomme Il encourage fortement les développeurs de l’iPhone et de l’iPad à appliquer le chiffrement des données envoyées par câble en utilisant ATS (Sécurité des transports de l’application). Pour des raisons inconnues, cette protection a été désactivée à l’échelle mondiale dans la demande, a déclaré NowseCure. Deepseek n’a pas encore expliqué pourquoi ATS est désactivé à l’application et parce qu’il n’utilise pas de cryptage lors de l’envoi de ces informations par câble.
En outre, Les données sont envoyées au serveur contrôlé par Bytedancela société chinoise appartenant à Tiktok.

Bien que certaines de ces données soient correctement cryptées en utilisant la sécurité du niveau de transport, une fois déchiffré sur les serveurs contrôlés par Bytedance Ils peuvent être croisés avec les données des utilisateurs collectés ailleurs pour identifier les utilisateurs spécifiques et potentiellement retracer la requête et d’autres utilisations.

D’un point de vue technique, le chatbot Deepseek utilise un Modèle de raisonnement simulé avec des poids ouverts. Ses performances sont largement comparables avec le modèle de raisonnement simulé (SR) O1 d’OpenAI sur différentes références mathématiques et codantes. La société, qui a attrapé les observateurs du secteur de l’intelligence artificielle par surprise, était d’autant plus surprenante que Deepseek a déclaré qu’il ne dépensait qu’une petite partie par rapport à ce qu’Openi a dépensé.

Autres comportements de comportement profondément « inquiétant » pour les chercheurs

Un contrôle de contrôle de contrôle sur l’application a détecté d’autres comportements que les chercheurs considéraient potentiellement s’inquiéter. Par exemple, l’application utilise un schéma de cryptage symétrique connu comme 3des ou triple des. Ce schéma était déprécié par le NIST Suite à une recherche de 2016 qui a montré qu’elle pouvait être violée dans les attaques pratiques pour déchiffrer le trafic Web et VPN.

Une autre préoccupation est que les clés symétriques, qui sont identiques pour chaque utilisateur iOS, soient codées dans l’application et stockées sur l’appareil.
L’application « n’est pas équipée ou disposée à fournir une sécurité de base et une sécurité d’identité », déclare-t-il Andrew HoogNowsecure Co -founder. «Il existe des pratiques de sécurité fondamentales qui ne sont pas respectées, intentionnellement ou non. En fin de compte, cela met les données et l’identité de votre et de votre entreprise en danger « .
Hoog a déclaré que l’audit n’est pas encore complet, il y a donc beaucoup de questions et de détails qui restent sans réponse ou pas clairs. Il a dit que les résultats sont assez préoccupants pour induire maintenant ou diffuser ce qui est actuellement connu sans délai.

Le rapport de NowseCure; Deepseek « mémorise les données collectées dans des serveurs sûrs situés dans la République populaire de Chine »

Dans une relation, Nowsecure a écrit:
«Nowsecure recommande aux organisations REmprunter l’application iOS mobile de Deepseek depuis votre environnement (implémentations gérées et BYOD) en raison des risques de confidentialité et de sécurité, tels que:

  • Problèmes de confidentialité dus à la transmission non sécurisée des données
  • Problèmes de vulnérabilité dus aux clés codées de manière rigide
  • Partage de données avec des tiers, tels que Bytedance.
  • Analyse et stockage des données en Chine

Hoog a ajouté que L’application Deepseek pour Android est encore moins sûre que sa contrepartie iOS Et il doit être supprimé.
Les représentants de Deepseek et Apple n’ont pas répondu à un e-mail d’une demande de commentaires.
Les données envoyées entièrement ont été claires lors de l’enregistrement initial de l’application, notamment:

  • Respecter les lois actuelles, les procédures judiciaires ou les demandes du gouvernement, conformément aux normes internationalement reconnues.
  • NowseCure ne connaît toujours pas précisément le but de l’utilisation des fonctions de chiffrement 3des par l’application.

Apple encourage fortement les développeurs implémenter ATS pour s’assurer que les applications envoyées ne transmettent pas les données en insécurité sur les canaux HTTPour des raisons qu’Apple n’a pas expliqué publiquement, Hoog a déclaré que cette protection n’était pas obligatoire.

Ces données, ainsi qu’une série d’autres informations cryptées, sont envoyées à Deepseek à travers l’infrastructure fournie par Volcegine, une plate-forme cloud développée par Bytedance. Alors que l’adresse IP à laquelle l’application se connecte est située aux États-Unis et appartient à la société de communication Telecommunicazioni Niveau 3, la profondeur des informations sur la confidentialité précise que la société « mémorise les données collectées dans des serveurs sûrs situés dans la République populaire de Chine » .

La normalisation indique également que Deepseek:
Il peut accéder, conserver et partager les informations décrites dans « Quelles informations nous collectons » avec la police, les autorités publiques, les détenteurs d’auteur ou d’autres tiers si nous croyons à la bonne foi qu’il est nécessaire de: respecter les lois en vigueur, je Procédure judiciaire ou demandes du gouvernement, conformément aux normes internationales reconnues.
NowSeCure ne sait pas encore précisément le but de l’utilisation des fonctions de chiffrement 3D par l’application. Le fait que la clé soit codée dans l’application, cependant, est une défaut grave en matière de sécurité, reconnue pendant plus d’une décennie lorsqu’il a construit un chiffrement dans le logiciel.


Deepseek, une liste croissante de problèmes de sécurité et de confidentialité

Le rapport Nowsecure est ajouté à une liste croissante de problèmes de sécurité et de confidentialité déjà rapportés par d’autres.
L’un d’eux est représenté par Conditions indiquées dans les informations sur la confidentialité susmentionnées.

Un autre a émergé d’un rapport des chercheurs de Cisco et de l’Université de Pennsylvanie. Le rapport a noté que Deepseek R1, le modèle de raisonnement simulé, Il a montré un taux de faillite à 100% contre 50 messages nuisibles conçus pour générer un contenu toxique.
Une troisième préoccupation est représentée par des recherches menées par la société de sécurité Asqui a découvert une base de données accessible contrôlable publiquement appartenant à Deepseek. Il contenait plus d’un million d’instances de « chronologie de chat, de données arrière et d’informations sensibles, y compris les flux de journaux, les abeilles secrètes et les détails opérationnels », a déclaré Wiz. Une interface Web ouverte permet également un contrôle complet de la base de données et de l’escalade des privilèges, avec des points de terminaison et des touches d’abeilles internes disponibles via l’interface et les paramètres URL communs.

Thomas ReedChef de produit du personnel pour la détection et la réponse des points de terminaison MAC à The Huntress Safety Company et IOS Security Expert, a déclaré qu’il trouvait les résultats de NowseCure.
« Désactiver l’ATS est généralement une mauvaise idée », a-t-il écrit dans une interview en ligne. «Cela permet essentiellement à l’application de communiquer via des protocoles dangereux, tels que HTTP. Apple le permet et je suis sûr que d’autres applications le font, mais ils ne devraient pas. Il n’y a aucune bonne raison de le faire de nos jours. « 
Et il a ajouté: « Même s’ils protégeaient les communications, je ne serais pas disposé à envoyer des données sensibles qui se retrouveraient sur un serveur auquel le gouvernement chinois pourrait accéder. »
HD Moorele fondateur et PDG de Runzero, a déclaré qu’il était moins inquiet que les octets ou d’autres sociétés chinoises aient accès aux données.
« Undpoint http imprévisible est impardonnable », a-t-il écrit. «On s’attendrait à ce que l’application mobile et ses partenaires (Bytedance, Volcegine, etc.) puissent acquérir les données de l’appareil, comme toute autre chose, mais le point final HTTP exposent les données à tous ceux qui sont sur le chemin du réseau, non seulement au fournisseur et ses partenaires « .

À partir du 6 février, les législateurs américains ont commencé à pousser pour Interdire immédiatement Deepseek à tous les appareils gouvernementauxcitant les préoccupations pour la sécurité nationale que le Parti communiste chinois pourrait en avoir inséré un porte arrière dans le service pour accéder aux données privées sensibles des Américains. S’il est approuvé, Deepseek pourrait être interdit dans les 60 jours.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.