موقع الصالح : العثور على عيوب أمنية متعددة في تطبيق Deep Seek على iOS

كشف التقرير عن العديد من العيوب الأمنية في تطبيق Deep Seek على iOS، والذي لا يزال أحد أكثر التنزيلات شيوعًا في متجر التطبيقات بعد تصدره للقوائم عند إطلاقه لأول مرة، وتكشف النتائج الأخيرة عن وضع أسوأ بكثير من فشل الأمان السابق الذي كشف عن تاريخ الدردشة والمعلومات الحساسة الأخرى في قاعدة بيانات لا تتطلب مصادقة.

ووفقًا لما ذكره موقع “mac9to5″، فإن DeepSeek ظهر من العدم بالنسبة لمعظم الناس وأصبح بين عشية وضحاها التطبيق الأكثر تنزيلًا على iPhone، وصُدم باحثو الذكاء الاصطناعي بقدرات التطبيق الذي كان لديه متطلبات أجهزة أقل بشكل كبير من برامج الدردشة ذات القوة المماثلة، وأدى الخبر إلى انخفاض سعر أسهم عدد من شركات الذكاء الاصطناعي الأمريكية.

ومع ذلك، لم يمض وقت طويل قبل إثارة مخاوف الأمن والخصوصية، حتى تساءلت هيئة مراقبة الخصوصية الإيطالية عما إذا كان التطبيق متوافقًا مع قانون الخصوصية الأوروبي، مع طرح أيرلندا أسئلة مماثلة.

كما يحقق المسؤولون الأمريكيون أيضًا في الآثار المحتملة للأمن القومي، وتم اكتشاف أن الشركة فشلت عن غير قصد في تأمين قاعدة بيانات تحتوي على أكثر من مليون سطر من إدخالات السجل، بما في ذلك سجل الدردشة والمفاتيح السرية.

وجدت شركة الأمن المحمول NowSecure ثغرات أمنية متعددة في تطبيق iPhone، بما في ذلك الفشل في استخدام نظام App Transport Security (ATS) المدمج في Apple.

تم تصميم ATS لضمان إرسال البيانات الشخصية الحساسة فقط عبر قنوات مشفرة، لكن NowSecure وجدت أن DeepSeek أوقفت هذا.

يعطل تطبيق DeepSeek iOS عالميًا App Transport Security (ATS) وهو حماية على مستوى منصة iOS تمنع إرسال البيانات الحساسة عبر قنوات غير مشفرة، ونظرًا لتعطيل هذه الحماية، يمكن للتطبيق إرسال بيانات غير مشفرة عبر الإنترنت.

تقول الشركة، إنه في حين أن البيانات المكشوفة قد تبدو غير ضارة، إلا أنه يمكن دمجها بسهولة لإخفاء هوية المستخدمين.

في حين أن أيًا من هذه البيانات المأخوذة بشكل منفصل ليست محفوفة بالمخاطر للغاية، فإن تجميع العديد من نقاط البيانات بمرور الوقت يؤدي بسرعة إلى تحديد هوية الأفراد بسهولة.

يُظهِر خرق البيانات الأخير لشركة Gravy Analytics، أن هذه البيانات يتم جمعها بنشاط على نطاق واسع ويمكنها إزالة هوية ملايين الأفراد بشكل فعال، وعندما يتم تشفير البيانات، تستخدم الشركة طريقة تشفير قديمة معروفة بأنها معيبة.

تستفيد خوارزمية التشفير المختارة لهذا الجزء من التطبيق من خوارزمية تشفير معطلة معروفة (3DES) مما يجعلها خيارًا سيئًا لحماية سرية البيانات، بالإضافة إلى ذلك، يمكن استخدام البيانات التي تم جمعها بواسطة التطبيق لتحديد أهداف التجسس المحتملة.