Introduzione alle vulnerabilità di DeepSeek
L’applicazione DeepSeek ha recentemente attirato l’attenzione dei ricercatori di sicurezza a causa di gravi vulnerabilità che mettono a rischio i dati degli utenti. Dopo la scoperta che l’azienda invia dati di login a China Mobile, gli esperti di NowSecure hanno identificato numerosi problemi di sicurezza, tra cui la trasmissione di dati in chiaro da parte dell’app iOS. Queste vulnerabilità sollevano interrogativi significativi sulla protezione della privacy degli utenti e sull’affidabilità dell’applicazione.
Trasmissione non sicura dei dati
Secondo le analisi condotte da NowSecure, l’app iOS di DeepSeek trasmette informazioni sensibili degli utenti su Internet senza alcuna crittografia. Questo significa che chiunque possa monitorare il traffico di rete può accedere a queste informazioni.
Nonostante Apple offra la funzionalità App Transport Security, che utilizza il protocollo TLS per garantire la sicurezza dei dati, questa opzione è stata disattivata nell’applicazione, esponendo ulteriormente gli utenti a potenziali attacchi.
Rischi di attacchi Man-in-the-Middle
La disattivazione della crittografia rende l’app vulnerabile a attacchi Man-in-the-Middle, in cui un malintenzionato può intercettare e modificare i dati trasmessi. Inoltre, i ricercatori hanno scoperto che molti dati vengono inviati a Volcengine, una piattaforma cloud gestita da ByteDance, consentendo il tracciamento degli utenti tramite tecniche di fingerprinting. Questo solleva ulteriori preoccupazioni sulla privacy e sulla sicurezza dei dati personali.
Conservazione inadeguata delle credenziali
Un’altra grave vulnerabilità riguarda la conservazione delle credenziali degli utenti. NowSecure ha rivelato che username, password e chiavi cifrate sono memorizzate in un database locale facilmente accessibile, esponendo gli utenti a rischi di furto di identità e accesso non autorizzato.
Inoltre, l’uso dell’algoritmo crittografico 3DES, considerato obsoleto dal NIST nel 2016, non offre una protezione adeguata, aggravando ulteriormente la situazione.
Reazioni e misure di sicurezza
In risposta a queste scoperte, i ricercatori consigliano alle aziende e alle agenzie governative di bloccare immediatamente l’uso dell’app iOS di DeepSeek, poiché non offre nemmeno le minime protezioni di sicurezza. Due politici statunitensi hanno già annunciato l’intenzione di presentare una proposta di legge per vietare l’uso di DeepSeek sui dispositivi governativi. Prima dell’intervento del Garante della privacy, le app per Android e iOS sono state rimosse dai rispettivi store italiani, evidenziando la gravità della situazione.
