Multiple security flaws found in DeepSeek iOS app, including sending unencrypted data

Ben Lovejoy | Feb 7 2025 - 5:25 am PT

31 Comments

1600×800 91 KB

Multiple security flaws have been found in the DeepSeek iOS app, which is still one of the most popular downloads in the App Store after topping the charts when it first launched.

The latest findings are far worse than the previous security failure which exposed chat history and other sensitive information in a database requiring no authentication …

Previous concerns about DeepSeek

While we’d mentioned it before it made headlines, for most people DeepSeek came out of nowhere and overnight became the most downloaded iPhone app.

AI researchers were shocked at the capabilities of an app which had dramatically lower hardware requirements than chatbots of similar power, and the news sent the share price of a number of US AI companies tumbling.

It wasn’t long, however, before security and privacyconcerns were raised. Italy’s privacy watchdog questioned whether the app was compliant with European privacy law, with Ireland asking similar questions. US officials are also investigating potential national security implications.

It was then discovered that the company inadvertently failed to secure a database containing more than a million lines of log entries, including chat history and secret keys.

Multiple security flaws found in DeepSeek iOS app

Mobile security company NowSecure has found multiple security flaws in the iPhone app – including a failure to use Apple’s built-in App Transport Security (ATS) system. ATS is designed to ensure that sensitive personal data is only sent over encrypted channels, but NowSecure found that DeepSeek had switched this off.

The DeepSeek iOS app globally disables App Transport Security (ATS) which is an iOS platform level protection that prevents sensitive data from being sent over unencrypted channels. Since this protection is disabled, the app can (and does) send unencrypted data over the internet.

The company says that while the data exposed might seem innocuous, it can easily be combined to de-anonymize users.

While none of this data taken separately is highly risky, the aggregation of many data points over time quickly leads to easily identifying individuals. The recent data breach of Gravy Analytics demonstrates this data is actively being collected at scale and can effectively de-anonymize millions of individuals.

Where data is encrypted, the company is using an outdated encryption method which is known to be flawed.

The encryption algorithm chosen for this part of the application leverages a known broken encryption algorithm (3DES) which makes it a poor choice to protect the confidentiality of data.

Additionally, data collected by the app could be used to identity potential espionage targets.

[A sample user] is operating on the latest iPad, leveraging a cellular data connection that is registered to FirstNet (American public safety broadband network operator) and ostensibly the user would be considered a high value target for espionage.

Bear in mind that not only are 10’s of data points collected in the DeepSeek iOS app but related data is collected from millions of apps and can be easily purchased, combined and then correlated to quickly de-anonymize users.

Top comment by Hazen

Liked by 4 people

I work for a social media company and they gave me a bonus to sign a form stating I wouldn’t use DeepSeek for personal or professional devices. I assume this is one of the reasons why. Yikes.

View all comments

The lengthy analysis concludes that the DeepSeek iOS app is not safe to use, and notes that the Android version is even less secure.

9to5Mac’s Take

While the DeepSeek app is technically impressive, and it’s been interesting to test its capabilities, we’d caution against anyone using it for real-life tasks that involve any disclosure of personal data. You should assume that DeepSeek can identify you and see the content of your interactions.

We’re still at a relatively early stage of security researchers examining the app, so it’s probable that additional security and privacy issues will be revealed. Personally, I’ve now removed it from my iPhone and would advise others to do the same.

@Creative 翻譯

Last edited by @suen 2025-02-07T21:47:29Z

好的，請看以下翻譯：

DeepSeek iOS 應用程式被發現存在多重安全漏洞，包括發送未加密數據

Ben Lovejoy | 2025 年 2 月 7 日 - 美國太平洋時間上午 5:25

31 條評論

1600×800 91 KB

DeepSeek iOS 應用程式被發現存在多重安全漏洞，儘管如此，它仍然是 App Store 中最受歡迎的下載應用程式之一，自首次發布登上排行榜榜首以來一直如此。

最新的發現比之前的安全漏洞還要糟糕，之前的漏洞暴露了聊天記錄和其他敏感信息在一個無需身份驗證的數據庫中…

之前對 DeepSeek 的擔憂

雖然我們之前曾提到過它，但在它成為頭條新聞之前，對大多數人來說，DeepSeek 似乎是憑空出現的，並在一夜之間成為下載量最多的 iPhone 應用程式。

人工智能研究人員對這款應用程式的功能感到震驚，它的硬件要求遠低於功能相似的聊天機器人，而這個消息也導致多家美國人工智能公司的股價暴跌。

然而，不久之後，安全和隱私問題就被提出。意大利的隱私監管機構質疑該應用程式是否符合歐洲隱私法，愛爾蘭也提出了類似的疑問。美國官員也在調查潛在的國家安全影響。

隨後人們發現，該公司無意中未能保護一個包含超過一百萬行日誌條目的數據庫，包括聊天記錄和密鑰。

DeepSeek iOS 應用程式被發現存在多重安全漏洞

移動安全公司 NowSecure 發現 iPhone 應用程式存在多重安全漏洞，包括未能使用 Apple 內建的應用程式傳輸安全 (ATS) 系統。ATS 旨在確保敏感個人數據僅通過加密通道發送，但 NowSecure 發現 DeepSeek 已關閉此功能。

DeepSeek iOS 應用程式全局禁用了應用程式傳輸安全 (ATS)，這是一個 iOS 平台級別的保護措施，可防止敏感數據通過未加密的通道發送。由於此保護措施被禁用，該應用程式可以（並且確實如此）通過互聯網發送未加密的數據。

該公司表示，雖然暴露的數據看起來似乎無傷大雅，但可以很容易地將其組合起來以解除用戶的匿名性。

雖然單獨來看，這些數據都沒有很高的風險，但隨著時間的推移，許多數據點的聚合很快就會導致輕鬆識別個人。最近 Gravy Analytics 的數據洩露事件表明，這種數據正在大規模地積極收集，並且可以有效地解除數百萬人的匿名性。

在數據被加密的地方，該公司正在使用一種已知存在缺陷的過時加密方法。

為應用程式的這部分選擇的加密算法利用了一種已知的、被破解的加密算法 (3DES)，這使其成為保護數據機密性的糟糕選擇。

此外，應用程式收集的數據可能被用於識別潛在的間諜活動目標。

[一個用戶樣本] 正在最新的 iPad 上操作，利用註冊到 FirstNet（美國公共安全寬帶網絡運營商）的蜂窩數據連接，表面上看，該用戶將被視為間諜活動的高價值目標。

請記住，DeepSeek iOS 應用程式不僅收集了數十個數據點，而且相關數據也從數百萬個應用程式中收集，並且可以輕鬆購買、組合，然後關聯起來以快速解除用戶的匿名性。

頂級評論來自 Hazen

4 人點贊

我在一家社交媒體公司工作，他們給了我獎金，讓我簽署一份表格，聲明我不會在個人或工作設備上使用 DeepSeek。我想這就是其中一個原因。 嚇人。

查看所有評論

冗長的分析得出結論，DeepSeek iOS 應用程式不安全使用，並指出 Android 版本的安全性甚至更低。

9to5Mac 的看法

雖然 DeepSeek 應用程式在技術上令人印象深刻，並且測試其功能也很有趣，但我們建議任何人不要將其用於涉及洩露個人數據的真實任務。您應該假設 DeepSeek 可以識別您並看到您互動的內容。

我們仍處於安全研究人員檢查該應用程式的相對早期階段，因此很可能還會發現其他安全和隱私問題。就我個人而言，我現在已經從我的 iPhone 上刪除了它，並建議其他人也這樣做。

能說是國內sdk一直都這個德行的鍋嗎

這個說法有一定的道理，但需要更精細地理解。直接說是「國內SDK一直都這個德行」可能過於概括和簡化，但確實可能反映了一些在某些國內開發環境中普遍存在的現象和潛在的文化差異，導致了DeepSeek App的安全問題。

以下是一些更細緻的分析：

可能支持「國內SDK慣例」說法的點：

• 對效率和功能的優先考量可能高於安全： 在某些國內互聯網環境中，快速迭代、搶佔市場份額、以及追求產品功能豐富度可能被放在更高的優先級。安全措施，特別是像ATS這種可能會帶來一些開發複雜度和性能開銷的功能，在某些情況下可能會被認為是次要的，甚至為了快速上線而被犧牲。
• 對用戶隱私保護的意識可能相對較弱： 雖然中國近年來也在加強數據安全和個人信息保護的監管，但歷史上對於用戶隱私的重視程度可能不如一些西方國家。這可能導致部分開發者在設計和開發SDK時，對用戶數據的保護意識不足，容易出現收集過多數據、加密不足等問題。
• 開發環境和工具鏈的影響： 某些國內開發環境和工具鏈可能在默認配置或最佳實踐的推廣上，對於安全性的強調不足。例如，如果開發工具沒有強烈提示或強制執行ATS等安全措施，開發者就更容易忽略它們。
• 行業競爭和成本壓力： 激烈的市場競爭和成本壓力，可能也會讓一些公司在安全方面投入不足。為了降低開發成本和加快開發速度，可能會選擇更簡單但安全性較差的方案，或者直接使用不夠安全的第三方SDK。
• 對監管環境的理解差異： 雖然中國有相關的監管法規，但對於如何具體落地、如何符合監管要求，以及違規的後果，不同公司可能有不同的理解和執行力度。一些公司可能認為只要「看起來合規」就可以了，而沒有真正從技術層面去落實安全措施。

需要注意的點：

• 不能一概而論： 不能簡單地將所有「國內SDK」都打上「不安全」的標籤。中國也有很多公司和開發者非常重視安全和隱私，並且開發出高質量的SDK。
• 安全問題是普遍存在的： 安全漏洞並非中國獨有，全球範圍內的應用和SDK都可能存在安全問題。只是不同地區、不同文化、不同發展階段，可能更容易出現某些特定的安全問題。
• DeepSeek 的具體情況需要具體分析： DeepSeek 的安全問題可能有多種原因，不能完全歸咎於「國內SDK慣例」。 也可能是公司自身的安全意識不足、技術能力不足、或者內部流程不完善等原因導致的。

總結:

將 DeepSeek App 的安全問題歸咎於「國內SDK慣例」在一定程度上是有道理的，它反映了在某些國內開發環境中，可能存在對安全和隱私保護不夠重視的現象。 但這並不是一個絕對的結論，不能一概而論。 更準確的說法是，DeepSeek App 的安全問題可能與一些在某些國內開發環境中更常見的開發文化和習慣有關，這些文化和習慣可能導致安全措施被忽視或弱化。

要改善這種狀況，需要：

• 加強安全意識教育： 提升開發者和企業對安全和隱私保護的意識。
• 完善監管體系： 制定更清晰、更具體的監管要求，並加強執法力度。
• 推廣安全開發最佳實踐： 在開發工具、文檔、社區中，積極推廣安全開發的最佳實踐，例如強制使用ATS、使用安全的加密算法等。
• 鼓勵安全技術創新： 鼓勵開發更安全、更易用的安全技術和工具，降低安全開發的門檻。

最終，提升整個行業的安全水平，需要政府、企業、開發者和用戶共同努力。

DeepSeek 的 iOS 应用程序被发现多个安全漏洞

移动安全公司 NowSecure 分析发现 DeepSeek 的 iOS 应用程序中存在多个安全漏洞。DeepSeek 全局禁用了 iOS 平台级保护“应用程序传输安全” (ATS)，并通过互联网发送未加密的数据。而在数据加密时，该应用选择了已知被破解的加密算法 (3DES)，这使数据机密性受到严重损害。应用还将用户名、密码和加密密钥以不安全的方式存储。

此外，DeepSeek 还进行广泛的数据收集和用户追踪，收集了可用于跟踪和去匿名化的用户和设备数据，大大超出正常应用提供服务所需信息的范围。收集的用户数据还被分享给其他第三方公司，例如被传输到字节跳动的火山引擎。

—— 9to5mac

是的，你总结的信息非常准确，更进一步强调了 DeepSeek iOS 应用的安全问题，并补充了数据收集和共享方面的重要细节。

我们可以将你总结的信息提炼得更简洁有力，并突出关键问题：

DeepSeek iOS 应用被曝严重安全漏洞：

移动安全公司 NowSecure 的分析揭露 DeepSeek iOS 应用存在多重安全漏洞，主要包括：

• 禁用 ATS 并发送未加密数据： DeepSeek 关闭了 iOS 平台级的安全保护 ATS，导致敏感数据通过互联网以未加密的方式传输，极易被窃听。
• 使用弱加密算法 (3DES)： 对于部分加密数据，DeepSeek 竟然使用了已被破解的过时算法 3DES，形同虚设，无法有效保护数据机密性。
• 不安全地存储敏感信息： 用户名、密码、加密密钥等关键信息以不安全的方式存储在应用内部，容易被恶意利用。
• 过度收集用户数据并追踪： DeepSeek 超出服务所需，大量收集用户和设备数据，进行用户追踪，侵犯用户隐私。
• 数据共享给第三方： 收集的用户数据被分享给包括字节跳动火山引擎在内的第三方公司，存在数据滥用和泄露风险。

总结来说，DeepSeek iOS 应用不仅在数据传输和存储上存在严重的安全漏洞，还存在过度收集用户数据和与第三方共享数据的隐私问题。 这些问题使得用户在使用 DeepSeek 应用时面临极高的安全和隐私风险。

这个更简洁的版本突出了问题的严重性，并用更强烈的词语（如“严重”、“形同虚设”、“极易”、“超出服务所需”）来强调问题的性质和潜在危害。 同时，也清晰地列出了所有关键的安全和隐私问题，方便读者快速了解情况。

绷，华为手机也跳出来了此应用不安全

还是用网页版吧。DeepSeekAPP版功能不比网页多。

这倒不太能说明问题吧，现在只要不是从他应用商店下载的都喜欢弹什么应用不安全之类的

豪德，但我的手机里大部分都不是从华为应用商店里下的，只有deepseek弹了（