DeepSeek iOS アプリに複数のセキュリティ上の欠陥が発見されました。このアプリは、最初のリリース時にチャートのトップに躍り出て以来、現在でも App Store で最も人気のあるダウンロードの 1 つです。
最新の調査結果は、認証を必要としないデータベースでチャット履歴やその他の機密情報が漏洩した前回のセキュリティ失敗よりもはるかに深刻です…
DeepSeekに関する以前の懸念
見出しになる前にも触れましたが、ほとんどの人にとって、DeepSeek はどこからともなく現れ、一夜にして最もダウンロードされた iPhone アプリになりました。
AI研究者たちは、同様の能力を持つチャットボットよりもハードウェア要件が格段に低いアプリの機能に衝撃を受け、このニュースを受けて米国の多くのAI企業の株価が急落した。
しかし、すぐにセキュリティとプライバシーに関する懸念が浮上しました。イタリアのプライバシー監視機関は、このアプリが欧州のプライバシー法に準拠しているかどうかを疑問視し、アイルランドも同様の質問をしました。米国当局も国家安全保障への影響の可能性を調査しています。
その後、同社がチャット履歴や秘密鍵を含む100万行以上のログエントリを含むデータベースを不注意で保護していなかったことが発覚した。
モバイルセキュリティ企業NowSecureは、iPhoneアプリに複数のセキュリティ上の欠陥を発見しました。その中には、Appleの組み込みApp Transport Security(ATS)システムの使用漏れも含まれています。ATSは、機密性の高い個人データが暗号化されたチャネル経由でのみ送信されるように設計されていますが、NowSecureはDeepSeekがこれを無効にしていたことを発見しました。
DeepSeek iOSアプリは、iOSプラットフォームレベルの保護機能であるApp Transport Security(ATS)をグローバルに無効化します。ATSは、機密データが暗号化されていないチャネル経由で送信されるのを防ぐものです。この保護機能が無効化されているため、アプリはインターネット経由で暗号化されていないデータを送信できます(実際に送信しています)。
同社によれば、漏洩したデータは一見無害に見えるかもしれないが、簡単に組み合わせてユーザーの匿名性を解除できるという。
これらのデータはそれぞれ個別に取得しても大きなリスクはありませんが、多くのデータポイントを長期間にわたって集約すると、個人を容易に特定できるようになります。Gravy Analyticsで最近発生したデータ侵害は、このデータが積極的に大規模に収集されており、数百万人もの個人の匿名性を事実上解除できる可能性があることを実証しています。
データが暗号化されている場合、同社は欠陥があることが知られている時代遅れの暗号化方式を使用しています。
アプリケーションのこの部分に選択された暗号化アルゴリズムは、既知の破損した暗号化アルゴリズム (3DES) を活用しているため、データの機密性を保護するには適していません。
さらに、アプリによって収集されたデータは、潜在的なスパイ活動の標的を特定するために使用される可能性があります。
[サンプル ユーザー] は最新の iPad で操作しており、FirstNet (米国の公共安全ブロードバンド ネットワーク オペレーター) に登録されている携帯電話のデータ接続を活用しているため、表面上はスパイ活動の価値の高いターゲットであると考えられます。
DeepSeek iOS アプリでは数十のデータ ポイントが収集されるだけでなく、何百万ものアプリから関連データが収集され、簡単に購入、結合、相関付けしてユーザーの匿名性を迅速に解除できることに留意してください。
詳細な分析の結果、DeepSeek の iOS アプリは安全に使用できないと結論付けられ、Android 版はさらに安全性が低いことが指摘されています。
9to5Macの見解
DeepSeekアプリは技術的に優れており、その機能をテストするのは興味深いものでしたが、個人情報の開示を伴う実生活の作業に使用することは控えるべきです。DeepSeekはユーザーを識別し、やり取りの内容を把握できると想定しておく必要があります。
セキュリティ研究者によるアプリの調査はまだ比較的初期段階にあるため、今後、セキュリティとプライバシーに関する新たな問題が明らかになる可能性があります。私自身は既にiPhoneからこのアプリを削除しており、他の方にも同様の対応をお勧めします。
画像: 9to5Mac
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
