DeepSeek: Aplicativo de IA para iOS Transmite Dados Não Criptografados para Servidores da ByteDance
Recentemente, o aplicativo DeepSeek para iOS tem sido alvo de preocupações significativas de segurança e privacidade. Análises conduzidas por especialistas em cibersegurança revelaram que o aplicativo transmite dados sensíveis dos usuários sem criptografia adequada para servidores controlados pela ByteDance, empresa-mãe do TikTok. Esta prática expõe informações pessoais a potenciais interceptações e levanta questões sobre o acesso do governo chinês a esses dados.
Vulnerabilidades Identificadas
A empresa de segurança NowSecure realizou uma avaliação detalhada do aplicativo DeepSeek para iOS e descobriu múltiplas falhas críticas:
1. Transmissão de Dados Não Criptografados: O aplicativo desativa a App Transport Security (ATS), uma proteção padrão do iOS que impede o envio de dados sensíveis sem criptografia. Como resultado, informações como nome do dispositivo, endereço IP e interações do usuário são transmitidas sem qualquer proteção, tornando-as suscetíveis a interceptações por terceiros.
2. Criptografia Obsoleta: Embora o aplicativo utilize algum nível de criptografia, ele emprega o algoritmo 3DES, considerado inseguro e obsoleto há quase uma década. Além disso, as chaves de criptografia são codificadas diretamente no aplicativo e são idênticas para todos os usuários, facilitando a descriptografia dos dados por agentes mal-intencionados.
3. Coleta Excessiva de Dados: O DeepSeek coleta uma quantidade significativa de informações sobre o dispositivo do usuário, incluindo nome do dispositivo, endereço IP, detalhes da rede e interações com o aplicativo. Esses dados podem ser utilizados para criar perfis detalhados dos usuários e potencialmente rastrear suas atividades online.
Implicações de Privacidade e Segurança
A transmissão de dados para servidores controlados pela ByteDance levanta preocupações adicionais, especialmente considerando as leis chinesas que podem exigir que empresas compartilhem dados com o governo. Isso significa que informações pessoais dos usuários podem estar acessíveis às autoridades chinesas, mesmo que os usuários estejam fora da China.
Além disso, a falta de criptografia adequada facilita a interceptação de dados por cibercriminosos, aumentando o risco de roubo de identidade, fraudes e outras atividades maliciosas.
Recomendações para Usuários
Diante dessas descobertas, especialistas em segurança recomendam que os usuários desinstalem o aplicativo DeepSeek de seus dispositivos iOS imediatamente para proteger suas informações pessoais. Organizações e empresas são aconselhadas a proibir o uso do aplicativo em dispositivos corporativos, devido aos riscos associados.
Resposta da Comunidade Internacional
Em resposta às preocupações de segurança, várias instituições e governos tomaram medidas contra o DeepSeek:
• Estados Unidos: Diversas agências federais, incluindo a Marinha dos EUA e a NASA, proibiram o uso do aplicativo em dispositivos oficiais, citando riscos de segurança e privacidade.
• Itália e Taiwan: Autoridades desses países iniciaram investigações sobre o uso de dados pelo DeepSeek e emitiram alertas sobre potenciais riscos de privacidade.
• Austrália: O governo australiano está avaliando a possibilidade de banir o aplicativo em dispositivos governamentais, seguindo recomendações de agências de segurança cibernética.
Considerações Finais
O caso do DeepSeek destaca a importância de avaliar cuidadosamente as permissões e práticas de coleta de dados de aplicativos, especialmente aqueles desenvolvidos por empresas estrangeiras. Usuários devem permanecer vigilantes e priorizar sua privacidade e segurança ao interagir com novas tecnologias.
Fontes: nowsecure.com, scworld.com, bgr.com, krebsonsecurity.com, wired.com