Új AI chatbot, a DeepSeek, súlyos adatvédelmi aggályokat vet fel
Kicsit több mint két héttel ezelőtt egy nagyrészt ismeretlen, Kínában alapított cég, a DeepSeek megrázta az AI világát egy nyílt forráskódú chatbot bemutatásával, amely a piacon vezető OpenAI-hoz hasonló szintű szimulált érvelési képességekkel rendelkezik. Néhány napon belül a DeepSeek AI asszisztens alkalmazás a legmagasabb helyre emelkedett az iPhone App Store „Ingyenes alkalmazások” kategóriájában, megelőzve a ChatGPT-t.
Csütörtökön a mobilbiztonsági cég, a NowSecure jelentette, hogy az alkalmazás érzékeny adatokat küld titkosítatlan csatornákon, így az adatok bárki számára olvashatóvá válnak, aki monitorozza a forgalmat. A bonyolultabb támadók az adatokat is módosíthatják, miközben azok átvitel alatt állnak. Az Apple határozottan ösztönzi az iPhone és iPad fejlesztőket, hogy érvényesítsenek titkosítást az adatátvitel során az ATS (App Transport Security) használatával. A NowSecure jelentése szerint ismeretlen okok miatt ez a védelem globálisan le van tiltva az alkalmazásban.
Alapvető biztonsági védelem hiányzik
Továbbá, az adatok olyan szerverekre kerülnek, amelyeket a ByteDance irányít, a TikTokot birtokló kínai cég. Míg az adatok egy része megfelelően titkosítva van a szállítási réteg biztonságával, miután a ByteDance által irányított szervereken dekódolják, keresztellenőrizhetők más, másutt gyűjtött felhasználói adatokkal, hogy azonosítsák a konkrét felhasználókat és nyomon követhessék a lekérdezéseket és egyéb használatokat.
A DeepSeek AI chatbot egy nyílt súlyú szimulált érvelési modellt használ. Teljesítménye nagyrészt összehasonlítható az OpenAI o1 szimulált érvelési (SR) modelljével több matematikai és kódolási mérőszámon. Ez a teljesítmény, amely nagyrészt meglepte az AI iparági megfigyelőit, még lenyűgözőbb, mivel a DeepSeek azt jelenti, hogy csak a költségvetésének kis részét költötte el a fejlesztésre, összehasonlítva az OpenAI költéseivel.
Az alkalmazás komoly biztonsági kockázatokat rejteget
A NowSecure auditja azt is felfedezte, hogy az alkalmazás egy szimmetrikus titkosítási sémát, a 3DES-t (triple DES) használja. Ezt a sémát a NIST 2016-ban elavultnak nyilvánította, miután a kutatások kimutatták, hogy a gyakorlatban feltörhető web- és VPN-forgalom dekódolására. A másik aggasztó tényező, hogy a szimmetrikus kulcsok, amelyek minden iOS felhasználóra azonosak, kódolva vannak az alkalmazásba, és a készüléken tárolják.
Andrew Hoog, a NowSecure társalapítója elmondta, hogy az alkalmazás “nincs felkészülve, vagy nem hajlandó alapvető biztonsági védelmet nyújtani az adatok és az identitás védelme érdekében.” “Olyan alapvető biztonsági gyakorlatokat nem tartanak be, akár szándékosan, akár véletlenül. Végső soron ez kockázatot jelent az Ön és cége adatainak és identitásának.”
A NowSecure ajánlása szerint a szervezetek távolítsák el a DeepSeek iOS mobilalkalmazást a környezetükből (kezelett és BYOD telepítések) a magánélet és a biztonság kockázatai miatt.
Adatvédelmi aggályok és kormányzati intézkedések
Az alkalmazás kezdeti regisztrációja során az adatok teljesen titkosítatlan formában kerülnek elküldésre, beleértve:
- szervezet azonosító
- az alkalmazás létrehozásához használt szoftverfejlesztési keretrendszer verziója
- felhasználó operációs rendszer verziója
- konfigurációban kiválasztott nyelv
Az Apple határozottan ösztönzi a fejlesztőket, hogy alkalmazzák az ATS-t, hogy biztosítsák, hogy az általuk benyújtott alkalmazások ne továbbítsanak érzékeny adatokat titkosítatlan HTTP csatornákon. A NowSecure megjegyezte, hogy a DeepSeek alkalmazás Android verziója még kevésbé biztonságos, mint az iOS megfelelője, és azt is el kell távolítani.
Csütörtökön az Egyesült Államok törvényhozói elkezdtek lobbizni a DeepSeek azonnali betiltásáért minden kormányzati eszközön, hivatkozva a nemzeti biztonsági aggályokra, miszerint a Kínai Kommunista Párt hátsó ajtót építhetett a szolgáltatásba, hogy hozzáférjen az amerikaiak érzékeny magánadataihoz.
Érdekes tény: Az AI modellek által generált tartalom egyes esetekben képes lehet a felhasználók személyes adatait is összegyűjteni, ha azok nem kerülnek megfelelően titkosításra.
Források: NowSecure, Apple, DeepSeek, ByteDance, NIST
