Nuevas aplicaciones móviles de la Sociedad China de Inteligencia Artificial (AI) A fondo Entre las primeras tres descargas “gratuitas” para los dispositivos Apple y Google desde su debut el 25 de enero de 2025. Pero los expertos advierten que muchas opciones de diseño de SpeedSeek, como el uso de claves de cifrado codificadas y ‘envían usuarios no cifrados y no cifrados. y dispositivos dados a las empresas chinas: presentan una serie de riesgos de seguridad y confidencialidad flagrantes.
El interés público en las aplicaciones de AI Deepseek Cat se hinchó después de ser extendido medios de comunicación Los informes según los cuales llega la compañía china IA habían logrado corresponder a las capacidades de los chatbots avanzados mientras usaba una fracción de mercados especializados de pulgas informáticas en los que se están haciendo las principales empresas de IA. Hasta la fecha, Deepseek es la tercera aplicación “gratuita” más descargada en Apple Store y N ° 1 en Google Play.
El rápido aumento de Deepseek llamó la atención de la compañía de seguridad móvil AhoraUna empresa con sede en Chicago que ayuda a los clientes a detectar aplicaciones móviles para amenazas de seguridad y confidencialidad. En Un desmantelamiento Desde la aplicación Deepseek publicada hoy, NowSecure ha instado a las organizaciones a eliminar la aplicación móvil iOS Deepseek de su entorno, citando problemas de seguridad.
Fundador de NowSecure Andrew Hoog dijo que aún no habían concluido un análisis en profundidad de la aplicación Deepseek para Androide Aparato, pero que hay pocas razones para creer que su diseño básico sería funcionalmente muy diferente.
Hoog le dijo a KrebssonsCurity que había una serie de cualidades en la aplicación iOS Deepseek que sugiere la presencia de riesgos de seguridad y confidencialidad profundamente anclados. Para comenzar, dijo, la aplicación recopila muchos datos en el dispositivo del usuario.
“Hacen cosas muy interesantes que están al borde de la impresión avanzada del dispositivo avanzado”, dijo Hoog, señalando que una propiedad de la aplicación sigue el nombre del dispositivo, que para muchos dispositivos iOS es, por defecto, el nombre del Cliente seguido del tipo de dispositivo.
La información del dispositivo compartido, combinada con la dirección de Internet del usuario y los datos recopilados de las compañías de publicidad móvil, podría usarse para los usuarios sin retraso de la aplicación iOS Deepseek, advirtió NowSecure. El informe señala que Deepseek se comunica con VolcadorUna plataforma en la nube desarrollada por Byte (Fabricantes de Tiktok), aunque ahora determinó que no estaba claro si los datos solo aprovechan el servicio de transformación digital en la nube de bytete o si el intercambio de información declarada se extiende aún más entre las dos compañías.
Imagen: Nowsecure.
Quizás más preocupante, NowSecure dijo que la aplicación iOS transmite información sobre el dispositivo “claro”, sin cifrado para encapsular los datos. Esto significa que los datos administrados por la aplicación podrían ser interceptados, leídos e incluso modificados por cualquier persona que tenga acceso a una de las redes que transportan el tráfico de tráfico.
“La aplicación iOS Deepseek desactiva la seguridad del transporte de aplicaciones (ATS) que es protección en la plataforma iOS que evita que los datos confidenciales se envíen a canales no cifrados”, observó el informe. “Dado que esta protección está desactivada, la aplicación puede (y un hecho) enviar datos no insistidos en Internet”.
Hoog dijo que la aplicación selectivamente cripta de las partes de las respuestas de los servidores Deepseek. Pero también descubrieron que usa un algoritmo de cifrado inseguro y ahora obsoleto llamado 3DES (también conocido como Triple de), y que los desarrolladores habían codificado la clave de cifrado. Esto significa que la clave criptográfica necesaria para descifrar estos campos de datos se puede extraer de la aplicación misma.
Hubo otros problemas de seguridad y confidencialidad menos alarmantes resaltados en el informe, pero Hoog dijo que estaba convencido de que había problemas de seguridad adicionales e invisibles escondidos en el código de la solicitud.
“Cuando vemos que las personas tienen errores de codificación realmente simplistas, porque cavas más profundamente, generalmente hay muchos más problemas”, dijo Hoog. “Prácticamente no hay prioridad con respecto a la seguridad o la confidencialidad. Ya sea cultural o obligado por China, o una elección juiciosa, destacan esfuerzos significativos de control de seguridad y confidencialidad, que pone en peligro en peligro. »»
Aparentemente, muchos otros comparten este punto de vista. Axios reportado El 30 de enero, se advirtió a las oficinas del Congreso de los Estados Unidos que no usara la solicitud.
“[T]Los jugadores de Hreat ya explotan a Deepseek para entregar software y dispositivos maliciosos ”, dice la opinión del director administrativo de la Cámara de Representantes. “Para aliviar estos riesgos, la Cámara ha tomado medidas de seguridad para restringir la funcionalidad de Deepseek en todos los dispositivos emitidos por la Cámara”.
TechCrunch informes Que Italia y Taiwán ya han decidido prohibir los problemas de seguridad. Bloomberg escribiendo eso El pentágono Acceso bloqueado a Deepseek. CNBC dicho NASA También ha prohibido a los empleados usar el servicio, al igual que el Marina de los Estados Unidos.
Más allá de los problemas de seguridad vinculados a la aplicación iOS Deepseek, hay indicios de que la compañía de IA china puede jugar rápidamente y aflojarse con los datos que recopila y sobre los usuarios. El 29 de enero, investigadores COMO dicho Descubrieron una base de datos accesible al público vinculado a Deepseek que exhibió “un gran volumen de historia de gatos, datos de backend e información confidencial, incluidos flujos de periódicos, secretos de API y detalles operativos”.
“Más críticamente, la exposición permitió un control completo de la base de datos y una escalada de posibles privilegios en el entorno de profundidad, sin ninguna autenticación o mecanismo de defensa en el mundo exterior”, escribió Wiz. [Full disclosure: Wiz is currently an advertiser on this website.]
Krebsoncurity solicitó comentarios sobre el informe de Deepseek y Apple. Esta historia se actualizará con todas las respuestas sustanciales.