Kinijos startuolis „DeepSeek“ visai neseniai sudrebino pasaulinę Dirbtinio intelekto (DI) pramonę, pristatęs savo pigų ir kokybišką pokalbių robotą, kuris greitai įsiveržė į Jungtinių Amerikos Valstijų (JAV) ir kitų šalių technologijų rinką.
Per gan trumpą laiką „DeepSeek iOS“ programėlė jau buvo atsisiųsta ir naudojama milijonuose įrenginių, tarp jų ir priklausančių privačioms įmonėms, ir valstybės tarnautojams, todėl, kaip rašė 15min, Jungtinėse Amerikos Valstijose (JAV) vyriausybiniuose įrenginiuose siekiama uždrausti naudoti Kinijos sukurtas DI programas, įskaitant „DeepSeek“.
Atskleidė daugybę spragų
„NowSecure“ atliko išsamų „DeepSeek iOS“ programos mobiliesiems saugos ir privatumo vertinimą, atskleidė daugybę kritinių spragų, dėl kurių asmenys, įmonės ir vyriausybinės organizacijos rizikuoja – naujausios įžvalgos rodo masinio duomenų rinkimo grėsmę.
L.Apynis 15min akcentavo, kad, kol visi lygina sprendimo kainas ir funkcijas, šis saugumu ir privatumu, kol kas, nepasižymi.
„Kalbant apie jūsų visus susirašinėjimus su „DeepSeek“ ir kitus pateiktus jūsų duomenis – jie saugomi tik Kinijos duomenų centre. Privatumo politikoje taip pat rašoma, kad duomenys gali būti perduodami ir kitoms organizacijoms“, – įspėjo „Baltimax“ kibernetinio saugumo inžinierius.
„NowSecure“ išvados taip pat griežtos, anot jų, organizacijoms būtina nedelsiant uždrausti naudoti programą, kad apsaugotų neskelbtinus duomenis ir sumažintų galimą kibernetinę riziką.
Nustatytos pagrindinės rizikos:
- Nešifruotas duomenų perdavimas: programa perduoda slaptus duomenis internetu be šifravimo, todėl yra pažeidžiama perėmimui ir manipuliavimui.
- Silpni ir sunkiai užkoduoti šifravimo raktai: naudojamas pasenęs trigubo DES šifravimas, pakartotinai naudojami inicijavimo vektoriai ir šifravimo raktai kietuoju kodu, pažeidžiant geriausią saugos praktiką.
- Nesaugus duomenų saugojimas: vartotojo vardas, slaptažodis ir šifravimo raktai saugomi nesaugiai, todėl padidėja kredencialų vagystės rizika.
- Platus duomenų rinkimas ir pirštų atspaudų ėmimas: programa renka naudotojo ir įrenginio duomenis, kuriuos galima naudoti sekimui ir anonimiškumo panaikinimui.
- Duomenys, siunčiami į Kiniją ir kuriems taikomi KLR įstatymai: naudotojų duomenys perduodami į „ByteDance“ valdomus serverius, todėl kyla susirūpinimas dėl vyriausybės prieigos ir atitikties rizikos.
Poveikis įmonėms ir vyriausybinėms organizacijoms:
- neskelbtinų duomenų, įskaitant skubius duomenis, atskleidimas; intelektinė nuosavybė, strateginiai planai ir konfidencialūs pranešimai.
- Padidėjusi stebėjimo rizika imant pirštų atspaudus ir kaupiant duomenis.
- Reguliavimo ir atitikties rizika, nes duomenys saugomi ir apdorojami Kinijoje pagal jos teisinę sistemą.
Naujausioje „DeepSeek“ privatumo analizėje daugiausia dėmesio buvo skiriama jos privatumo politikai ir paslaugų teikimo sąlygoms.
Tačiau „NowSecure“ išanalizavo „iOS“ programą, paleisdama ir patikrindama mobiliąją programėlę tikruose „iOS“ įrenginiuose, kad atskleistų patvirtintas saugos spragas ir privatumo problemas. Be to, net ir naudojant savarankiškas ar kitas „DeepSeek“ versijas, modelyje įmontuota cenzūra vis tiek išliks.
„DeepSeek iOS“ programa siunčia kai kuriuos mobiliųjų programų registraciją ir įrenginio duomenis internetu be šifravimo. Dėl to bet kokie interneto srauto duomenys tampa pasyviomis ir aktyviomis atakomis.
Programišius gali pasyviai stebėti visą srautą ir sužinoti svarbios informacijos apie „DeepSeek“ programos vartotojus.
Nors „Apple“ turi integruotas platformos apsaugas, „DeepSeek iOS“ programos apsauga buvo išjungta visame pasaulyje.
Programišius, turintis privilegijuotą prieigą prie tinklo taip pat gali perimti ir modifikuoti duomenis, taip paveikti programos ir duomenų vientisumą.
„NowSecure“ pabrėžia: svarbu suprasti, kokius duomenis seka ir renka mobiliosios programos, nes jie gali būti veiksmingai naudojami siekiant tiksliai nustatyti asmens tapatybę (pavyzdžiui, tam pasitarnauti gali piršto atspaudas).
