App do DeepSeek para iOS usa método de criptografia defasado e ignora proteções da Apple

por | |
DeepSeek

O chatbot chinês DeepSeek virou o mundo da tecnologia de ponta cabeça na semana passada após apresentar um desempenho impressionante mesmo tendo sido treinando com hardware defasado e custado muito menos para ser desenvolvido do que seus concorrentes — mas seus problemas estão começando aparecer aos poucos, inclusive no iOS.

De acordo com a firma de segurança estadunidense NowSecure, o aplicativo da IA para iPhones possui falhas gravas de segurança, as quais podem expor dados sensíveis de usuários comuns e organizações.

Em primeiro lugar, a versão mobile do DeepSeek transmite dados sem criptografia — algo que, obviamente, torna mais fácil a interceptação dessas informações e a sua manipulação por pessoas mal intencionadas.

DeepSeek

Por que a IA da DeepSeek mexeu tanto com o mundo da tecnologia?

Marcus Mendes
01/02/2025 • 10:30

Quando o chatbot usa criptografia, ele opta pelo método Triple DES (ou 3DES), que é considerado ultrapassado pelo menos desde 2016, quando pesquisadores passaram a desaconselhar o seu uso após descobrirem que ele poderia ser quebrado.

Para piorar, ele reutiliza vetores de inicialização e chaves de criptografia. Em outras palavras, isso significa que as mesmas chaves podem ser usadas para descriptografar as informações de basicamente todos os usuários.

Além disso, a NowSecure também acusou o app de armazenar informações como nomes de usuários, senhas e chaves de criptografia de forma insegura, bem como de coletar dados que podem servir para rastrear e identificar usuários específicos. Esses dados, inclusive, são enviados para servidores controlados pela ByteDance — empresa que, como já sabemos (vide toda a briga com o governo dos Estados Unidos envolvendo o TikTok), precisa seguir leis que dão à China acesso aos dados armazenados.

Posts relacionados

  • o3-mini, da OpenAI, chega para competir com o modelo R1, da DeepSeek
  • DeepSeek domina rankings de downloads da App Store em vários países

Por fim, o app também desativa globalmente o App Transport Security, protocolo da Apple que serve como uma camada extra de proteção para informações criptografadas. A DeepSeek não deixou claro a razão pela qual escolheu deixar esse recurso desativado, bem como a Apple também não explicou porque algumas companhias decidem ignorá-lo.

Em seu relatório, que traz mais detalhes sobre essa análise de segurança, a NowSecure afirmou que vai continuar procurando por mais falhas no app — que, segundo ela, é ainda mais inseguro no Android.

via AppleInsider

Adicionar aos favoritos o Link permanente.