DeepSeek App transmite dados sensíveis de usuários e dispositivos sem criptografia

Uma recente auditoria no aplicativo móvel DeepSeek para o sistema operacional iOS revelou graves falhas de segurança, sendo a principal delas o envio de dados sensíveis pela internet sem criptografia, tornando as informações vulneráveis a interceptação e ataques de manipulação.

A análise foi realizada pela empresa de segurança NowSecure, que identificou que o aplicativo não segue as melhores práticas de segurança e coleta uma grande quantidade de dados dos usuários e dispositivos. Segundo a empresa, o DeepSeek para iOS transmite informações de registro do aplicativo e dados do dispositivo sem qualquer forma de criptografia, expondo essas informações a ataques passivos e ativos.

Além disso, a auditoria encontrou diversas falhas na implementação da criptografia de dados do usuário, incluindo o uso do algoritmo simétrico inseguro 3DES, chaves de criptografia codificadas no código-fonte e reutilização de vetores de inicialização, práticas que comprometem ainda mais a segurança das informações transmitidas.

Outro fator preocupante é que os dados são enviados para servidores operados pela Volcano Engine, uma plataforma de computação e armazenamento em nuvem pertencente à ByteDance, mesma empresa chinesa responsável pelo TikTok. O DeepSeek também desativa globalmente a App Transport Security (ATS), uma proteção nativa do iOS que impede o envio de dados sensíveis por canais não criptografados. Isso significa que o aplicativo pode — e de fato faz — a transmissão de dados sem proteção.

Essas descobertas aumentam as preocupações já existentes sobre o serviço de inteligência artificial DeepSeek, que rapidamente se tornou um dos aplicativos mais populares nas lojas App Store e Google Play em diversos países. Além disso, a empresa de cibersegurança Check Point identificou que hackers estão explorando o motor de IA do DeepSeek, junto com os da Alibaba Qwen e do ChatGPT da OpenAI, para desenvolver malwares de roubo de informações, gerar conteúdos sem restrições e otimizar scripts para distribuição de spam em massa.

A Associated Press também revelou que o site do DeepSeek está configurado para enviar credenciais de login de usuários para a China Mobile, uma empresa estatal de telecomunicações que foi proibida de operar nos Estados Unidos. Esse vínculo com o governo chinês, semelhante ao caso do TikTok, levou legisladores norte-americanos a pressionarem por um banimento nacional do aplicativo em dispositivos governamentais, sob a alegação de riscos de espionagem e vazamento de dados para Pequim.

Diversos países, incluindo Austrália, Itália, Holanda, Taiwan e Coreia do Sul, além de agências governamentais nos EUA e Índia, como o Congresso, NASA, Marinha, Pentágono e o estado do Texas, já proibiram o uso do DeepSeek em dispositivos governamentais.

O sucesso do aplicativo também tem atraído ataques cibernéticos, com a empresa chinesa de segurança XLab relatando que o DeepSeek sofreu uma série de ataques DDoS no mês passado, lançados por botnets Mirai, hailBot e RapperBot. Além disso, grupos hackers estão explorando a popularidade da ferramenta para criar sites falsos que disseminam malware, golpes de investimento e esquemas fraudulentos envolvendo criptomoedas.

Via - THN