Το DeepSeek Στοχοποιείται για Ζητήματα Ασφαλείας: Αποκαλύψεις για Διαρροή Δεδομένων και Σχέσεις με την ByteDance

Η DeepSeek, μια νεοεμφανιζόμενη εταιρεία τεχνητής νοημοσύνης με έδρα την Κίνα, συγκλόνισε τον χώρο της τεχνολογίας με την κυκλοφορία ενός AI chatbot ανοιχτού κώδικα, το οποίο παρουσίασε δεξιότητες λογικής συγκρίσιμες με αυτές του ChatGPT της OpenAI. Η εφαρμογή ανέβηκε γρήγορα στην πρώτη θέση των δωρεάν εφαρμογών στο iPhone App Store, αλλά νέα αποκαλυπτική αναφορά της NowSecure εγείρει σοβαρές ανησυχίες για την ασφάλεια και την προστασία προσωπικών δεδομένων των χρηστών.

Διαρροή Δεδομένων μέσω Μη Κρυπτογραφημένων Καναλιών

Η NowSecure, εταιρεία εξειδικευμένη στην ασφάλεια κινητών εφαρμογών, αποκάλυψε ότι η εφαρμογή DeepSeek AI assistant στέλνει ευαίσθητα δεδομένα μέσω μη κρυπτογραφημένων καναλιών, καθιστώντας τα προσβάσιμα σε οποιονδήποτε μπορεί να παρακολουθήσει την κίνηση των δεδομένων. Οι σύνθετοι επιτιθέμενοι θα μπορούσαν επίσης να παραποιήσουν τα δεδομένα κατά τη μεταφορά τους.

Η Apple ενθαρρύνει έντονα τους προγραμματιστές να εφαρμόζουν την App Transport Security (ATS), η οποία εξασφαλίζει την κρυπτογράφηση των δεδομένων. Ωστόσο, η NowSecure διαπίστωσε ότι αυτή η προστασία είναι παγκοσμίως απενεργοποιημένη στην εφαρμογή της DeepSeek, χωρίς καμία εξήγηση από την εταιρεία.

Δεδομένα σε Διακομιστές της ByteDance

Ακόμα πιο ανησυχητικό είναι το γεγονός ότι τα δεδομένα αποστέλλονται σε διακομιστές που ελέγχονται από την ByteDance, τη μητρική εταιρεία του TikTok. Αν και ορισμένα από αυτά τα δεδομένα κρυπτογραφούνται μέσω Transport Layer Security (TLS), μόλις αποθηκευτούν στους διακομιστές της ByteDance, μπορούν να διασταυρωθούν με άλλα δεδομένα χρηστών για να εντοπιστούν ταυτοπροσωπίες και να παρακολουθηθεί η χρήση της εφαρμογής.

Η πολιτική απορρήτου της DeepSeek αναφέρει ρητά ότι τα δεδομένα των χρηστών αποθηκεύονται σε ασφαλείς διακομιστές στην Κίνα και μπορεί να κοινοποιηθούν σε κρατικές αρχές κατόπιν αιτήματος, προκαλώντας περαιτέρω ανησυχίες για την προστασία προσωπικών δεδομένων.

Σοβαρές Αδυναμίες Κρυπτογράφησης

Η NowSecure αποκάλυψε επίσης ότι η εφαρμογή χρησιμοποιεί το 3DES (Triple DES), ένα σύστημα συμμετρικής κρυπτογράφησης που έχει καταργηθεί από το NIST από το 2016 λόγω της ευπάθειάς του σε επιθέσεις αποκρυπτογράφησης. Επιπλέον, τα συμμετρικά κλειδιά κρυπτογράφησης είναι σκληρά κωδικοποιημένα στην εφαρμογή και ταυτόσημα για κάθε χρήστη iOS, γεγονός που αποτελεί σοβαρό κενό ασφαλείας.

Ο συνιδρυτής της NowSecure, Andrew Hoog, δήλωσε στο Ars Technica:
"Η εφαρμογή δεν παρέχει βασικές προστασίες ασφαλείας για τα δεδομένα και την ταυτότητα των χρηστών. Αυτές οι παραλείψεις, είτε είναι σκόπιμες είτε όχι, θέτουν σε κίνδυνο τα προσωπικά δεδομένα και την ιδιωτικότητα των χρηστών και των εταιρειών τους."

Αντιδράσεις και Νομοθετικές Πρωτοβουλίες στις ΗΠΑ

Οι αποκαλύψεις έχουν προκαλέσει αντιδράσεις στις Ηνωμένες Πολιτείες, με νομοθέτες να πιέζουν για την άμεση απαγόρευση της εφαρμογής DeepSeek από όλες τις κυβερνητικές συσκευές, επικαλούμενοι ανησυχίες εθνικής ασφάλειας. Οι φόβοι επικεντρώνονται στο ενδεχόμενο η Κινεζική κυβέρνηση να έχει ενσωματώσει "backdoors" στην εφαρμογή, επιτρέποντας την πρόσβαση σε ευαίσθητα δεδομένα Αμερικανών πολιτών. Αν εγκριθεί η πρόταση, η απαγόρευση θα μπορούσε να τεθεί σε ισχύ εντός 60 ημερών.

Περαιτέρω Ανησυχίες για την Ασφάλεια

Η NowSecure δεν είναι η μόνη εταιρεία που εξέφρασε ανησυχίες. Έρευνες από την Cisco και το Πανεπιστήμιο της Πενσυλβάνια διαπίστωσαν ότι το μοντέλο λογικής προσομοίωσης DeepSeek R1 απέτυχε να αναγνωρίσει και να αποτρέψει τοξικό περιεχόμενο σε 100% των δοκιμασμένων επιθέσεων.

Επιπλέον, η Wiz, εταιρεία ασφάλειας, ανακάλυψε δημόσια προσβάσιμη βάση δεδομένων της DeepSeek, που περιλάμβανε πάνω από 1 εκατομμύριο εγγραφές συνομιλιών, ευαίσθητα δεδομένα backend, καθώς και API κλειδιά και λεπτομέρειες λειτουργίας.

Συμπεράσματα και Συστάσεις

Η NowSecure προτείνει:

• Αφαίρεση της εφαρμογής DeepSeek από όλες τις συσκευές, τόσο σε περιβάλλοντα εταιρικής διαχείρισης όσο και σε BYOD (Bring Your Own Device).
• Αποφυγή της χρήσης της εφαρμογής Android, η οποία θεωρείται ακόμα λιγότερο ασφαλής από την iOS έκδοση.
• Προσοχή στη χρήση εφαρμογών που αποθηκεύουν δεδομένα σε χώρες με ανεπαρκή προστασία προσωπικών δεδομένων.

Ενώ η DeepSeek και η Apple δεν έχουν απαντήσει ακόμα στα αιτήματα για σχόλια, η υπόθεση αυτή αναδεικνύει τα συνεχιζόμενα προβλήματα ασφάλειας στις εφαρμογές τεχνητής νοημοσύνης και την αναγκαιότητα αυστηρότερων ελέγχων από τους παρόχους λογισμικού και τις ρυθμιστικές αρχές.