.JPEG)
App do DeepSeek para iOS usa método de criptografia defasado e ignora proteções da Apple
O chatbot de IA chinês DeepSeek virou o mundo da tecnologia de ponta cabeça na semana passada após…
O chatbot de IA chinês DeepSeek virou o mundo da tecnologia de ponta cabeça na semana passada após apresentar um desempenho impressionante mesmo tendo sido treinando com hardware defasado e custado muito menos para ser desenvolvido do que seus concorrentes. Mas seus problemas estão começando aparecer aos poucos, inclusive no iOS.
De acordo com a firma de segurança estadunidense NowSecure, o aplicativo da IA para iPhones possui falhas graves de segurança, as quais podem expor dados sensíveis de usuários comuns e organizações.
Em primeiro lugar, a versão mobile do DeepSeek transmite dados sem criptografia — algo que, obviamente, torna mais fácil a interceptação dessas informações e a sua manipulação por pessoas mal intencionadas.
Quando o chatbot usa criptografia, ele opta pelo método Triple DES (ou 3DES), que é considerado ultrapassado pelo menos desde 2016, quando pesquisadores passaram a desaconselhar o seu uso após descobrirem que ele poderia ser quebrado.
Para piorar, ele reutiliza vetores de inicialização e chaves de criptografia. Em outras palavras, isso significa que as mesmas chaves podem ser usadas para descriptografar as informações de basicamente todos os usuários.
Além disso, a NowSecure também acusou o app de armazenar informações como nomes de usuários, senhas e chaves de criptografia de forma insegura, bem como de coletar dados que podem servir para rastrear e identificar usuários específicos. Esses dados, inclusive, são enviados para servidores controlados pela ByteDance — empresa que, como já sabemos (vide toda a briga com o governo dos Estados Unidos envolvendo o TikTok), precisa seguir leis que dão à China acesso aos dados armazenados.
Por fim, o app também desativa globalmente o App Transport Security, protocolo da Apple que serve como uma camada extra de proteção para informações criptografadas. A DeepSeek não deixou claro a razão pela qual escolheu deixar esse recurso desativado, bem como a Apple também não explicou por que algumas companhias decidem ignorá-lo.
Em seu relatório, que traz mais detalhes sobre essa análise de segurança, a NowSecure afirmou que vai continuar procurando por mais falhas no app — que, segundo ela, é ainda mais inseguro no Android.
via AppleInsider
