Você já ouviu falar do DeepSeek? Esse aplicativo de chatbot de IA, de origem chinesa, rapidamente conquistou o topo das paradas de aplicativos na App Store. Mas será que essa popularidade esconde algum segredo preocupante? Descubra neste post!
Proteções de segurança básicas ausentes
Uma recente avaliação de segurança revelou falhas preocupantes no DeepSeek. O aplicativo envia dados sensíveis sem criptografia, deixando-os vulneráveis a qualquer um que monitore o tráfego. Isso é grave, pois informações importantes podem ser facilmente acessadas e até mesmo alteradas.
A Apple recomenda fortemente o uso de ATS (App Transport Security) para proteger os dados. No entanto, inexplicavelmente, essa proteção está desabilitada no DeepSeek. Ainda pior: os dados são enviados para servidores controlados pela ByteDance, a empresa por trás do TikTok.
Mesmo que parte dos dados seja criptografada durante a transmissão, após a decodificação nos servidores da ByteDance, eles podem ser cruzados com outras informações do usuário, permitindo a identificação e o rastreamento de suas atividades.
Criptografia fraca e chaves vulneráveis
O DeepSeek utiliza o método de criptografia 3DES, considerado obsoleto e vulnerável a ataques que permitem decifrar dados. Além disso, as chaves de criptografia são idênticas para todos os usuários e estão embutidas no aplicativo. Isso torna a segurança ainda mais precária
Riscos à privacidade e segurança
A empresa de segurança NowSecure considera o DeepSeek “desprovido de proteções básicas para seus dados e identidade”. Práticas de segurança fundamentais foram ignoradas, colocando em risco a privacidade dos usuários.
A NowSecure recomenda a remoção imediata do aplicativo, citando riscos como: transmissão insegura de dados; chaves embutidas no app, facilitando ataques; compartilhamento de dados com terceiros, incluindo a ByteDance; e análise e armazenamento de dados na China.
Dados como ID da organização, versão do SDK, versão do sistema operacional do usuário e idioma selecionado são enviados sem criptografia durante o registro.
A política de privacidade do DeepSeek declara explicitamente que a empresa pode compartilhar informações com autoridades caso seja necessário cumprir leis ou solicitações governamentais. Isso aumenta as preocupações sobre acesso a dados sensíveis por parte do governo chinês.
Implicações e ações futuras
A descoberta dessas vulnerabilidades gerou preocupações sobre a segurança nacional, levando legisladores americanos a pressionar pela proibição imediata do aplicativo em dispositivos governamentais, considerando a possibilidade de backdoors implementados pelo governo chinês para acesso aos dados de americanos.
O caso DeepSeek serve como um alerta sobre a importância da segurança em aplicativos de IA. É crucial que os desenvolvedores priorizem a segurança dos dados dos usuários e implementem medidas robustas para proteger contra ameaças.
E você? Quais são as suas preocupações sobre a segurança de aplicativos de IA?
Deixe seu comentário abaixo!
Fonte: Ars Technica
