Китайский AI-чатбот DeepSeek, ставший одним из самых популярных приложений в App Store, оказался уязвимым перед кибератаками. Исследование NowSecure выявило, что приложение передает данные без шифрования, использует устаревшие методы защиты и может отправлять информацию на серверы ByteDance. Владея DeepSeek, пользователи рискуют своими данными, а экспертное сообщество рекомендует немедленно удалить приложение.
Популярность AI-чатботов растет, но не все из них безопасны. Недавнее расследование компании NowSecure выявило серьезные уязвимости в DeepSeek, одном из самых скачиваемых AI-приложений в App Store. По словам исследователей, DeepSeek не только использует устаревшие методы шифрования, но и хранит конфиденциальные данные пользователей в небезопасном виде, что делает их легкой добычей для киберпреступников.
Слабая защита данных: устаревший Triple DES
Главная проблема DeepSeek — использование Triple DES (3DES), устаревшего метода шифрования, давно признанного ненадежным. Этот алгоритм легко поддается взлому с помощью современных вычислительных мощностей, что делает передаваемые данные практически незащищенными. Если сравнивать с реальным миром, то это похоже на использование ржавого замка на двери банковского сейфа.
Дополнительно усугубляет ситуацию тот факт, что приложение повторно использует одни и те же ключи шифрования. Это эквивалентно тому, как если бы все пароли пользователя были одинаковыми — стоит украсть один, и злоумышленники получают доступ ко всему. Более того, ключи шифрования находятся прямо внутри приложения, что делает их легкой добычей для хакеров. В аналогии с реальной жизнью это равносильно тому, как если бы вы спрятали ключ от дома под ковриком у входа.
Небезопасное хранение паролей и сбор личных данных
Еще один тревожный момент, выявленный NowSecure, — это способ хранения данных в DeepSeek. Пользовательские имена, пароли и даже ключи шифрования хранятся в незащищенном виде, что делает их уязвимыми к утечкам.
Но что еще более важно, приложение собирает данные о пользователях и их устройствах, что может использоваться для отслеживания и деанонимизации. К тому же выяснилось, что информация отправляется на серверы ByteDance, китайской компании, управляющей TikTok. Напомним, что TikTok сейчас сталкивается с жесткими ограничениями в США, где его требуют продать американской компании из-за подозрений в слежке.
Что рекомендуют эксперты?
Специалисты NowSecure не оставляют места для сомнений: DeepSeek нужно удалять. Это особенно актуально для корпоративных пользователей и владельцев BYOD-устройств (Bring Your Own Device), где персональные устройства используются в рабочих средах. Эксперты советуют искать альтернативные AI-чатботы, которые уважают конфиденциальность данных и обеспечивают высокий уровень безопасности.
Вопрос безопасности — не единственный, который стоит на повестке дня. Microsoft, являющаяся основным инвестором OpenAI, уже начала расследование в отношении DeepSeek. Корпорация хочет выяснить, использовала ли китайская компания незаконные методы для обучения своего ИИ. Если это подтвердится, можно будет говорить о краже интеллектуальной собственности.
Другие же эксперты бьют тревогу по поводу возможной цензуры. Ожидается, что DeepSeek может фильтровать и изменять ответы в соответствии с политикой китайского правительства.
Удалять или нет?
Судя по многочисленным проблемам с безопасностью, удаление DeepSeek с iPhone — наиболее разумный шаг. На рынке есть множество альтернатив, таких как ChatGPT, Claude и недавно запущенный Le Chat, которые обеспечивают более высокий уровень защиты данных и лучшую производительность. Если ваша конфиденциальность для вас важна, не стоит рисковать.
