除了对DeepSeek发动大规模黑客攻击外,美国的网络安全企业也没有闲着,过去数日针对DeepSeek安全和隐私问题的“黑报告”接连出炉。继多伦多大学Citizen Lab声称“DeepSeek比TikTok更可怕,会不断采集用户聊天数据和个人信息”后,总部位于芝加哥的移动安全公司NowSecure近日发布了一份针对DeepSeek iOS应用的深度安全与隐私评估报告,声称DeepSeek的APP存在多个“严重漏洞”,不仅威胁到个人用户的数据安全,也对企业和政府机构构成重大风险。
以下,我们将报告的主要内容编译整理如下,不代表GoUpSec观点,仅供网络安全行业人士参考:
报告强调,DeepSeek iOS应用在数据传输过程中未加密处理,导致敏感信息极易被拦截和篡改。此外,该应用采用过时的加密算法(如Triple DES)并使用弱硬编码密钥,严重违反行业安全标准。同时,用户名、密码和加密密钥的存储方式不安全,进一步增加了凭证被盗取的风险。更令人担忧的是,该应用会收集大量用户和设备信息,并将数据传输至中国字节跳动(ByteDance)控制的服务器,引发政府访问和合规性风险。
数据暴露与不安全存储的隐私问题
报告称,深度分析发现,DeepSeek iOS应用未能保障用户数据的基本安全性。例如,应用在网络传输过程中未对注册信息和设备数据进行加密,攻击者可利用这一漏洞实施被动或主动攻击,窃取用户敏感信息。此外,NowSecure研究人员在设备上运行并测试该应用时,发现其存储机制极不安全,用户名、密码等关键凭据以明文形式存储。
研究表明,该应用默认使用NSURLRequest API进行缓存,这意味着HTTP请求和响应数据可能被存储到本地缓存文件,攻击者若获得物理访问权限,即可轻松恢复这些数据。
用户追踪与去匿名化风险
报告称,DeepSeek应用收集的用户数据范围广泛,不仅涉及操作系统信息、网络配置、用户行为模式,还能通过外部数据源进行用户画像分析,形成精准追踪能力。这一情况与近年来数据经纪人(如Gravy Analytics)泄露事件类似,可能被用于更复杂的监视和情报收集活动。
数据传输至字节跳动,合规性存疑
NowSecure研究人员发现,DeepSeek iOS应用的数据传输目的地为字节跳动旗下的云服务Volcengine,尽管部分服务器位于美国,但其后台数据链路仍与中国公司存在关联。考虑到中国政府对数据访问的法律要求,DeepSeek用户数据存在被国家机构获取的潜在风险。
iOS安全机制缺失,加剧隐私风险
报告称,DeepSeek iOS应用不仅未能利用苹果生态系统内的安全防护措施,反而主动禁用了关键安全功能。例如,它关闭了App Transport Security(ATS),允许未加密数据的传输。此外,该应用还访问了多个隐私敏感API,包括系统启动时间、磁盘空间、文件时间戳等,可能被用于设备指纹识别和用户追踪。
应用的隐私政策和服务条款亦显示,其数据收集策略宽泛,用户数据将受到外国法律管辖,这进一步加剧了数据滥用的可能性。
面对DeepSeek应用的所谓“安全问题”,NowSecure建议企业和政府机构采取以下应对措施:
- 立即禁用DeepSeek iOS应用:在所有企业管理设备和BYOD环境中移除该应用,以防止潜在数据泄露。
- 选择安全替代方案:探索安全性更高的人工智能平台,例如自托管版本或微软等公司提供的可信AI解决方案。
- 强化移动安全监控:持续评估移动应用的安全性,防范新兴网络威胁,确保符合数据安全和隐私保护法规。
结语:谁在封杀DeepSeek?
全球范围内,目前仅有美国为首的少数几个国家和政府机构对DeepSeek应用采取限制措施。包括澳大利亚、意大利、荷兰、韩国在内的政府部门,以及美国国会、NASA、海军、五角大楼、德克萨斯州等政府机构已禁止在官方设备上使用DeepSeek。伦敦国王学院AI研究所顾问Lukasz Olejnik指出,2025年,美国政府可能会针对中国AI公司展开更严格的制裁。
