Примерно две недели назад я был поражен относительно малоизвестной китайской компанией DeepSeek, которая потрясла сообщество ИИ, представив чатбота с открытым исходным кодом на основе ИИ. Эта новаторская модель продемонстрировала когнитивные способности, удивительно похожие на способности лидера рынка OpenAI. Всего за несколько дней приложение-помощник DeepSeek AI взлетело на вершину раздела «Бесплатные приложения» в iPhone App Store, обогнав ChatGPT.
В четверг компания NowSecure, занимающаяся безопасностью мобильных устройств, сообщила, что приложение передает конфиденциальную информацию по незащищенным каналам, делая данные доступными для любого, кто перехватывает трафик. Даже более продвинутые хакеры потенциально могут манипулировать данными во время передачи. Apple советует разработчикам приложений для iPhone и iPad применять шифрование для данных, отправляемых по сетям, с помощью ATS (App Transport Security). Однако, похоже, что эта функция безопасности была повсеместно деактивирована в приложении, как заявила NowSecure.
Базовые меры безопасности MIA
Кроме того, вы должны знать, что предоставленная вами информация передается на серверы, управляемые ByteDance, китайской корпорацией, которая управляет TikTok. Хотя часть этих данных надежно зашифрована с использованием Transport Layer Security (TLS), при расшифровке на серверах, принадлежащих ByteDance, их можно сопоставить с другими пользовательскими данными с целью идентификации отдельных пользователей и, возможно, отслеживания их поисков и других действий.
Проще говоря, чат-бот DeepSeek AI работает с использованием модели смоделированного рассуждения с открытыми весами. Его производительность, удивительно похожая на модель смоделированного рассуждения OpenAI o1, была продемонстрирована в ходе различных математических и кодировочных тестов. Это достижение, которое застало многих в отрасли ИИ врасплох, было еще более поразительным, поскольку DeepSeek, как сообщается, инвестировала в его разработку значительно меньше, чем потратила OpenAI.
Как энтузиаст технологий, я недавно обнаружил, что аудит, проведенный NowSecure, выявил некоторые особенности поведения в приложении, которые вызвали удивление у исследователей. Например, это приложение использует метод симметричного шифрования под названием 3DES (тройной DES), который был объявлен устаревшим NIST с 2016 года из-за выводов о том, что он может быть скомпрометирован во время практических атак, направленных на расшифровку веб- и VPN-трафика. Кроме того, еще одной областью беспокойства является то, что идентичные симметричные ключи для каждого пользователя iOS жестко закодированы в приложении и хранятся на самом устройстве.
По словам соучредителя NowSecure Эндрю Хуга, в приложении отсутствуют необходимые меры безопасности для защиты пользовательских данных и личной идентификации. По сути, похоже, что важнейшие процедуры безопасности игнорируются, намеренно или ненамеренно. В конечном итоге эта халатность подвергает как ваши собственные данные, так и данные вашей компании потенциальным рискам.
По словам Хуга, аудит еще не завершен, а это значит, что есть много вопросов и моментов, которые остаются неясными или необъясненными. Он заявил, что результаты были достаточно тревожными для NowSecure, чтобы раскрыть имеющуюся информацию как можно скорее.
В отчете он написал:
NowSecure рекомендует организациям удалить мобильное приложение DeepSeek iOS как с управляемых, так и с личных устройств (BYOD) из-за потенциальных проблем с конфиденциальностью и безопасностью. К таким рискам относятся, например:
1. Несанкционированный сбор данных
2. Недостаточные методы шифрования
3. Отсутствие защищенных каналов связи
- Проблемы конфиденциальности из-за небезопасной передачи данных
- Проблемы уязвимости из-за жестко закодированных ключей
- Обмен данными со сторонними организациями, такими как ByteDance
- Анализ и хранение данных в Китае
Хуг также отметил, что версия DeepSeek для Android на самом деле менее безопасна по сравнению с ее эквивалентом для iOS, и ее также необходимо удалить.
Представители DeepSeek и Apple не ответили на электронное письмо с просьбой прокомментировать ситуацию.
Данные, отправляемые полностью в открытом виде, происходят во время первоначальной регистрации приложения, включая:
- идентификатор организации
- версия комплекта средств разработки программного обеспечения, использованного для создания приложения
- версия ОС пользователя
- язык, выбранный в конфигурации
Apple советует разработчикам использовать App Transport Security (ATS) для защиты своих приложений от небезопасной передачи данных через HTTP-соединения. Однако Apple не раскрыла причины, по которым ATS не является обязательным. На данный момент остается неясным, почему DeepSeek деактивировал ATS глобально в приложении или почему они решили не шифровать передаваемую информацию во время передачи.
Эта информация, в сочетании с другими зашифрованными данными, передается в DeepSeek, сервис, предлагаемый через Volcengine, облачную систему, созданную ByteDance. Хотя приложение ссылается на IP-адрес, расположенный в США и принадлежащий Level 3 Communications, американской телекоммуникационной компании, политика конфиденциальности DeepSeek поясняет, что собираемые ими данные хранятся на защищенных серверах, расположенных в Китае, а именно в Китайской Народной Республике. В политике также указано, что DeepSeek сохраняет за собой право хранить эти данные.
Мы можем предоставить разрешение правоохранительным органам, государственным органам, владельцам авторских прав или другим соответствующим сторонам на доступ, сохранение и распространение информации, указанной в разделе «Какую информацию мы собираем», если есть искреннее убеждение, что такое действие необходимо.
Соблюдать требуемые законы, судебные разбирательства или официальные требования, следуя международным нормам для такой практики.
Остается неясным, какая именно функция в приложении требует использования шифрования 3DES; однако проблема жесткого кодирования ключа шифрования непосредственно в приложении уже более десятилетия считается существенным недостатком безопасности при разработке программного обеспечения.
Нет веской причины
Отчет NowSecure, публикуемый по четвергам, дополняет растущий список проблем безопасности и конфиденциальности, которые ранее поднимались различными источниками.
Как я заметил, подробности были изложены в ранее упомянутой политике конфиденциальности. Совсем недавно мое внимание привлек отчет, опубликованный на прошлой неделе исследователями Cisco и Пенсильванского университета. Это исследование показало, что DeepSeek R1, имитационная модель рассуждений, продемонстрировала 100%-ную неспособность запустить атаки, столкнувшись с 50 подсказками, намеренно разработанными для создания вредоносного или токсичного контента.
Третья поднятая проблема касается исследования, проведенного фирмой по безопасности Wiz, которая обнаружила общедоступную, полностью управляемую базу данных, связанную с DeepSeek. Согласно отчету Wiz, эта база данных содержала более 1 миллиона записей «журналов чатов, внутренних данных и конфиденциальной информации, такой как потоки журналов, секреты API и эксплуатационные данные». Более того, был обнаружен открытый веб-интерфейс, который обеспечивал полный контроль над базой данных и позволял повышать привилегии. Через этот интерфейс были доступны внутренние конечные точки API и ключи, а также общие параметры URL.
Томас Рид, менеджер по продуктам, специализирующийся на обнаружении и реагировании на конечные точки Mac в компании Huntress, занимающейся безопасностью, который также хорошо разбирается в безопасности iOS, выразил свою обеспокоенность после ознакомления с открытиями NowSecure.
В недавнем разговоре, опубликованном в сети, он заявил, что отключение ATS (App Transport Security) обычно не рекомендуется, поскольку это позволяет приложению использовать незащищенные методы связи, такие как HTTP. Хотя Apple разрешает это, как и многие другие приложения, это не та практика, которую следует продолжать. В настоящее время нет никаких оправданий для использования таких незащищенных протоколов.
Он заявил: «Независимо от мер безопасности, которые они могут принять, я по-прежнему категорически против передачи какой-либо конфиденциальной информации, которая может попасть на сервер, доступный из Китая.
HD Moore, основатель и генеральный директор runZero, выразил меньшую обеспокоенность по поводу того, что ByteDance и другие китайские корпорации получат доступ к информации.
В своем сообщении он заявил, что существование незащищенных HTTP-соединений совершенно неприемлемо. Можно было бы подумать, что мобильное приложение и его партнеры, такие как ByteDance и Volcengine, могут собирать данные об устройствах, но эти конечные точки HTTP делают данные доступными для всех в сети, а не только для самих поставщиков и их партнеров.
Как аналитик, я выступаю за немедленный запрет DeepSeek на всех выпущенных правительством устройствах, учитывая мои опасения по поводу национальной безопасности. Обоснованием этого предложения является подозрение, что Коммунистическая партия Китая могла спроектировать скрытую точку входа или бэкдор в сервис, потенциально предоставляя им доступ к конфиденциальным личным данным американцев. В случае успешного принятия этот запрет может вступить в силу примерно в течение 60 дней.
Эта история была обновлена, чтобы добавить дополнительные примеры проблем безопасности, связанных с DeepSeek.
Смотрите также
- 7 лучших чехлов для Apple iPhone 16 Pro Max 2024 года
- Huawei Watch GT 5 против GT 4: стоит ли обновлять свое носимое устройство?
- Обзор Beyerdynamic DT 770 Pro X Limited Edition – 100 лет звука
- Обзор саундбара LG S95TR: наконец-то хорошо
- Xiaomi 14T против Xiaomi 13T: сравнение Android среднего класса
- 20 лучших циферблатов Samsung Galaxy Watch, которые вам стоит использовать
- AirPods Max 2 против AirPods Max: в чем разница?
- Обзор PrivadoVPN: новый бюджетный VPN, которым можно пользоваться бесплатно
- Обзор Wooting 80HE: олл-ин на эффекте Холла
- LG OLED55G4
2025-02-07 02:25