به گزارش ترفندستان به نقل از کانال تلگرامی ITsec NEWS
.
بررسیهای متخصصان Security Scorecard نشان میدهد که اپلیکیشن DeepSeek، نسخه iOS و Android، با وجود عدم نمایش رفتار مخرب آشکار، به دلیل ضعفهای امنیتی و جمعآوری گسترده اطلاعات، خطرات جدی برای کاربران ایجاد میکند.
تحلیل نسخه اندروید این برنامه نشان داده که کلیدهای API، رمزهای عبور و توکنهای احراز هویت بهصورت رمزگذارینشده ذخیره میشوند که امکان دسترسی غیرمجاز و تصاحب حسابهای کاربری را فراهم میکند. همچنین، این اپلیکیشن از الگوریتم رمزنگاری قدیمی DES استفاده میکند که در برابر حملات آسیبپذیر است و در برابر حملات SQL Injection نیز مقاومتی ندارد.
یکی از نگرانکنندهترین موارد کشفشده، جمعآوری گسترده اطلاعات کاربران است. این اطلاعات شامل ورودیهای متنی و صوتی، تاریخچه چتها، فایلهای آپلودشده، آدرسهای IP و اطلاعات مدل دستگاه میشود. ردیابی "الگوی فشار کلیدهای صفحهکلید" یکی از بحثبرانگیزترین قابلیتهای این برنامه است که میتواند برای شناسایی منحصر بهفرد کاربران مورد استفاده قرار گیرد.
از سوی دیگر، DeepSeek تکنیکهای ضداشکالزدایی (Anti-Debugging) را برای جلوگیری از تحلیل کد خود بهکار میگیرد. در صورت شناسایی فرآیند اشکالزدایی، برنامه بهطور خودکار بسته میشود که این رفتار، برخلاف ادعای شفافیت توسعهدهندگان، نگرانیهایی را درباره اهداف واقعی آن ایجاد کرده است.
ارسال دادهها به چین نیز یکی دیگر از موارد جنجالی این اپلیکیشن است. بررسیهای فنی نشان میدهد که DeepSeek از کتابخانهها و سرویسهای مرتبط با ByteDance استفاده میکند که احتمال انتقال اطلاعات به این شرکت را مطرح میکند. این مسئله، نگرانیهای جدی درباره رعایت استانداردهای بینالمللی حریم خصوصی مانند GDPR و CCPA به وجود آورده است.
همچنین، این اپلیکیشن دسترسیهای گستردهای از جمله اینترنت، وضعیت تلفن و موقعیت مکانی کاربران را درخواست میکند که امکان نظارت بر فعالیتهای کاربران را افزایش میدهد.
بررسی اتصالات خارجی DeepSeek نشان داده که این برنامه به دامنههایی متصل میشود که سطح امنیتی پایینی دارند، مسئلهای که خطر نشت اطلاعات را دوچندان میکند.
بهدلیل این مشکلات امنیتی، چندین کشور استفاده از DeepSeek را ممنوع کردهاند. اخیراً، ایالت نیویورک نصب این اپلیکیشن روی دستگاههای دولتی را ممنوع اعلام کرده است. همچنین، وزارت دفاع کره جنوبی دسترسی به این سرویس را در رایانههای اداری مسدود کرده است. کشورهای استرالیا، ایتالیا و تایوان نیز اقدامات مشابهی انجام دادهاند. در کنگره آمریکا نیز پیشنویس طرحی برای ممنوعیت استفاده از DeepSeek در دستگاههای دولتی ارائه شده است.
این در حالی است که پیشتر، تیم Wiz Research نقص امنیتی بزرگی را در زیرساخت DeepSeek کشف کرده بود. یک پایگاهداده ClickHouse ناامن به مهاجمان اجازه میداد که به تاریخچه چتها، کلیدهای امنیتی و اطلاعات سرورها دسترسی پیدا کنند.