Sicherheitsforscher von NowSecure haben mehrere schwerwiegende Sicherheits- und Datenschutzlücken in der DeepSeek iOS-App identifiziert, die seit Januar 2025 zu den meistgeladenen Anwendungen gehört. Die Untersuchung ergab, dass die App unverschlüsselte Benutzerdaten überträgt, schwache Verschlüsselungsmethoden mit fest programmierten Schlüsseln verwendet und sensible Informationen an Server sendet, die mit chinesischen Unternehmen wie ByteDance verbunden sind.
Die technische Analyse zeigte, dass DeepSeeks iOS-App den „App Transport Security“-Schutz von Apple bewusst deaktiviert und damit die unverschlüsselte Datenübertragung über das Internet ermöglicht. Die App sammelt umfangreiche Geräteinformationen, die zur Benutzeridentifikation verwendet werden könnten, einschließlich Gerätenamen, die oft persönliche Informationen enthalten. Zudem verwendet die App einen veralteten Triple-DES-Verschlüsselungsalgorithmus mit fest programmierten Schlüsseln, was sie anfällig für Abfangen und Manipulation macht.
Als Reaktion auf diese Erkenntnisse haben verschiedene Regierungsbehörden und Organisationen Maßnahmen zum Schutz ihrer Daten ergriffen. Das US-Pentagon, die NASA und die US-Marine haben die Nutzung der App verboten, während Italien und Taiwan landesweite Beschränkungen eingeführt haben. Sicherheitsforscher von Wiz entdeckten zudem eine öffentlich zugängliche Datenbank von DeepSeek, die Chatverläufe, API-Schlüssel und betriebliche Details offenlegte, was die Sicherheitsbedenken weiter verstärkt.
Quelle: NowSecure, Krebs on Security