В NowSecure выяснили, что приложение DeepSeek для iOS не защищает данные пользователей

Исследование NowSecure показало, что:

• мобильное приложение собирает различные данные пользователя и устройства;

• пользовательские данные хранятся небезопасно;

• конфиденциальные данные обрабатываются и отправляются в незашифрованном виде на внешние ресурсы, включая серверы в Китае.

По словам экспертов, разработчики iOS-версии DeepSeek отказались от использования системной функции безопасности Apple под названием App Transport Security (ATS), которая обеспечивает безопасную передачу конфиденциальных данных пользователей по зашифрованным каналам.

Кроме того, выяснилось, что часть информации пользователей шифруется в приложении с использованием устаревшего метода 3DES, который давно был взломан и не может считаться надёжным. Эксперты предупредили, что собранные и переданные данные могут быть использованы для шпионажа.

Ранее эксперты из компании по кибербезопасности Feroot Security после деобфускации скрытого кода DeepSeek выяснили, что после регистрации DeepSeek передаёт данные пользователя третьим лицам, включая китайскую телекоммуникационного оператора связи China Mobile (деятельность которой в США запрещена с мая 2019 года из-за проблем национальной безопасности) и портал CMPassport.com — официальный портал управления учётными записями China Mobile, который принадлежит китайскому правительству и управляется им.

Профильные специалисты пояснили, что, похоже, после регистрации в DeepSeek пользователи проходят процедуру снятия цифровых отпечатков, которые потом используются для отслеживания активности пользователей не только на веб-сайте DeepSeek, но и на других веб-сайтах, которые посещают пользователи.

DeepSeek базируется в Ханчжоу и официально даёт понять в своей политике конфиденциальности, что личная и системная информация, которую сервис компании собирает у пользователей, хранится «на защищённых серверах, расположенных в Китае». Согласно DeepSeek Privacy Policy и Terms of Use, ИИ‑сервис собирает, хранит и обрабатывает на своих серверах данные пользователей, включая IP‑адреса, user‑agent, информацию об устройствах, куки, отчёты о сбоях и журналы производительности, операционную систему, шаблоны или ритмы нажатия клавиш и язык системы. Удаление учётной записи пользователя не стирает как минимум часть этих данных.