DeepSeek 应用未加密传输敏感用户及设备数据引发安全风险质疑

一项针对DeepSeek苹果iOS版移动应用的最新审计发现，该应用存在严重安全漏洞，最主要的问题是其在网络传输过程中未对敏感数据进行加密，可能导致数据被拦截或篡改，带来安全隐患。  

此次评估由网络安全公司NowSecure进行，审计结果显示，DeepSeek应用不仅未遵循最佳安全实践，还收集了大量用户和设备数据。  

“DeepSeek iOS应用在互联网传输部分注册信息和设备数据时未进行加密，”NowSecure指出，“这使得这些数据在网络流量中暴露于被动和主动攻击之下。”  

进一步拆解分析表明，该应用在用户数据加密方面存在多个安全漏洞，包括使用不安全的对称加密算法（3DES）、硬编码的加密密钥以及重复使用初始化向量（IV），增加了数据泄露的风险。  

此外，DeepSeek的数据传输至由字节跳动旗下云计算和存储平台Volcano Engine管理的服务器，而字节跳动正是TikTok的母公司。  

“DeepSeek iOS应用完全禁用了iOS平台级别的安全防护机制——App Transport Security（ATS），该机制旨在防止敏感数据通过未加密渠道传输。”NowSecure警告称，“由于该防护被关闭，应用会在互联网上传输未加密的数据。”  

这一发现进一步加剧了外界对该人工智能（AI）聊天机器人服务的担忧。尽管DeepSeek在多个市场迅速登顶iOS和Android应用商店榜单，但其安全性问题仍然备受争议。  

网络安全公司Check Point的报告显示，黑客正利用DeepSeek的AI引擎，以及阿里巴巴Qwen和OpenAI ChatGPT，开发信息窃取工具、生成不受限制的内容，并优化大规模垃圾信息分发的脚本。  

“随着攻击者运用越狱等高级技术绕过防护措施，开发信息窃取软件、进行金融诈骗和垃圾邮件分发，企业亟需实施主动防御措施，以应对AI技术被滥用带来的安全威胁。”Check Point表示。  

本周早些时候，美联社披露，DeepSeek官方网站将用户登录信息发送至中国移动，而该公司已被美国政府禁止在美运营。  

与TikTok类似，DeepSeek的中国背景引发美国政界担忧，部分议员正推动在政府设备上全面禁用该应用，理由是其可能向中国政府提供用户数据。  

值得注意的是，澳大利亚、意大利、荷兰、台湾和韩国等多个国家，以及印度和美国的政府机构（包括国会、NASA、海军、五角大楼和德州政府）均已禁止在政府设备上使用DeepSeek。  

与此同时，DeepSeek的迅速走红也让其成为恶意攻击的目标。中国网络安全公司XLab向《环球时报》透露，该应用上月底遭遇了持续性的分布式拒绝服务（DDoS）攻击，攻击源包括Mirai僵尸网络hailBot和RapperBot。  

此外，网络犯罪分子也在利用DeepSeek的热度设立仿冒页面，传播恶意软件、虚假投资骗局和加密货币诈骗，进一步加剧了该应用面临的安全风险。

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文