DeepSeek زیر ذره‌بین امنیتی؛ پرونده‌سازی پنهان برای هر کاربر؟

[محمود 8080]

به گزارش ترفندستان به نقل از کانال تلگرامی ITsec NEWS
.
بررسی‌های متخصصان Security Scorecard نشان می‌دهد که اپلیکیشن DeepSeek، نسخه iOS و Android، با وجود عدم نمایش رفتار مخرب آشکار، به دلیل ضعف‌های امنیتی و جمع‌آوری گسترده اطلاعات، خطرات جدی برای کاربران ایجاد می‌کند.


تحلیل نسخه اندروید این برنامه نشان داده که کلیدهای API، رمزهای عبور و توکن‌های احراز هویت به‌صورت رمزگذاری‌نشده ذخیره می‌شوند که امکان دسترسی غیرمجاز و تصاحب حساب‌های کاربری را فراهم می‌کند. همچنین، این اپلیکیشن از الگوریتم رمزنگاری قدیمی DES استفاده می‌کند که در برابر حملات آسیب‌پذیر است و در برابر حملات SQL Injection نیز مقاومتی ندارد.


یکی از نگران‌کننده‌ترین موارد کشف‌شده، جمع‌آوری گسترده اطلاعات کاربران است. این اطلاعات شامل ورودی‌های متنی و صوتی، تاریخچه چت‌ها، فایل‌های آپلود‌شده، آدرس‌های IP و اطلاعات مدل دستگاه می‌شود. ردیابی "الگوی فشار کلیدهای صفحه‌کلید" یکی از بحث‌برانگیزترین قابلیت‌های این برنامه است که می‌تواند برای شناسایی منحصر به‌فرد کاربران مورد استفاده قرار گیرد.


از سوی دیگر، DeepSeek تکنیک‌های ضد‌اشکال‌زدایی (Anti-Debugging) را برای جلوگیری از تحلیل کد خود به‌کار می‌گیرد. در صورت شناسایی فرآیند اشکال‌زدایی، برنامه به‌طور خودکار بسته می‌شود که این رفتار، برخلاف ادعای شفافیت توسعه‌دهندگان، نگرانی‌هایی را درباره اهداف واقعی آن ایجاد کرده است.


ارسال داده‌ها به چین نیز یکی دیگر از موارد جنجالی این اپلیکیشن است. بررسی‌های فنی نشان می‌دهد که DeepSeek از کتابخانه‌ها و سرویس‌های مرتبط با ByteDance استفاده می‌کند که احتمال انتقال اطلاعات به این شرکت را مطرح می‌کند. این مسئله، نگرانی‌های جدی درباره رعایت استانداردهای بین‌المللی حریم خصوصی مانند GDPR و CCPA به وجود آورده است.


همچنین، این اپلیکیشن دسترسی‌های گسترده‌ای از جمله اینترنت، وضعیت تلفن و موقعیت مکانی کاربران را درخواست می‌کند که امکان نظارت بر فعالیت‌های کاربران را افزایش می‌دهد.

بررسی اتصالات خارجی DeepSeek نشان داده که این برنامه به دامنه‌هایی متصل می‌شود که سطح امنیتی پایینی دارند، مسئله‌ای که خطر نشت اطلاعات را دوچندان می‌کند.


به‌دلیل این مشکلات امنیتی، چندین کشور استفاده از DeepSeek را ممنوع کرده‌اند. اخیراً، ایالت نیویورک نصب این اپلیکیشن روی دستگاه‌های دولتی را ممنوع اعلام کرده است. همچنین، وزارت دفاع کره جنوبی دسترسی به این سرویس را در رایانه‌های اداری مسدود کرده است. کشورهای استرالیا، ایتالیا و تایوان نیز اقدامات مشابهی انجام داده‌اند. در کنگره آمریکا نیز پیش‌نویس طرحی برای ممنوعیت استفاده از DeepSeek در دستگاه‌های دولتی ارائه شده است.


این در حالی است که پیش‌تر، تیم Wiz Research نقص امنیتی بزرگی را در زیرساخت DeepSeek کشف کرده بود. یک پایگاه‌داده ClickHouse ناامن به مهاجمان اجازه می‌داد که به تاریخچه چت‌ها، کلیدهای امنیتی و اطلاعات سرورها دسترسی پیدا کنند.