L’improvvisa notorietà di DeepSeek ha attirato le attenzioni dei ricercatori di sicurezza. Dopo la scoperta che l’azienda invia i dati di login a China Mobile sono state individuate numerose vulnerabilità da NowSecure, tra cui l’invio di dati in Cina senza crittografia da parte dell’app iOS.
Server controllato da ByteDance
Gli esperti di NowSecure hanno scoperto che l’app iOS di DeepSeek trasmette dati degli utenti e dei dispositivi su Internet in chiaro, quindi sono leggibili da chiunque con un tool per il monitoraggio del traffico. Apple offre la funzionalità App Transport Security che sfrutta il protocollo TLS, ma è stata disattivata nell’app. I dati potrebbero essere intercettati e modificati con un attacco Man-in-the-Middle.
I ricercatori hanno inoltre scoperto che molti dati sono inviati alla piattaforma cloud Volcengine gestita da ByteDance. Ciò permette il tracciamento degli utenti tramite la tecnica del fingerprinting. Sono anche inviati a Intercom, azienda che offre un SDK integrato nell’app iOS.
NowSecure ha scoperto che username, password e chiavi cifrate sono conservate in un database locale facilmente accessibile. Un’altra grave vulnerabilità è dovuta all’uso dell’algoritmo crittografico 3DES, considerato obsoleto dal NIST (National Institute of Standards and Technology) nel 2016, in quanto non offre un’adeguata protezione.
I ricercatori consigliano alle aziende e alle agenzie governative di bloccare immediatamente l’uso dell’app iOS perché non offre nemmeno le minime protezioni di sicurezza. Due politici statunitensi presenteranno una proposta di legge per il ban di DeepSeek dai dispositivi governativi. Prima del blocco imposto dal Garante della privacy, le app per Android e iOS sono scomparse dai rispettivi store italiani.
Ti potrebbe interessare
7 feb 2025