Popüler bir AI chatbot uygulaması olan Deepseek, araştırmacılar kullanıcı verilerini açığa çıkarabilecek ve ulusal bir güvenlik riski oluşturabilecek birden fazla güvenlik açığı keşfettikten sonra ciddi güvenlik endişeleriyle karşı karşıya. Siber güvenlik firması NowSecure tarafından yapılan yeni bir soruşturma, uygulamanın şifrelenmemiş kullanıcı verilerini Tiktok'un ana şirketi tarafından kontrol edilen sunuculara aktardığını ortaya koydu. Buna ek olarak, Deepseek modası geçmiş şifreleme protokollerini kullanır ve Apple'ın Uygulama Aktarım Güvenliği'ni (ATS) kasıtlı olarak devre dışı bırakır ve kullanıcı verilerini üçüncü taraflarca potansiyel müdahaleye maruz bırakır.
Rapordaki en endişe verici bulgulardan biri, DeepSeek'in uygulanmaya yönelik kullanımdan kaldırılmış bir 3DES şifreleme anahtarını sabitlemesidir, bu da tüm kullanıcıların aynı şifreleme anahtarını paylaşmasıdır. Bu zayıf güvenlik önlemi, saldırganların duyarlı kullanıcı bilgilerinin şifresini çözmesini ve erişmesini kolaylaştırır. Daha da önemlisi, veriler baytanın sunucularına ulaştığında, şifreleme ortadan kaldırılır ve potansiyel izleme ve anonimleştirmeye izin verir. Çin'in talep üzerine devlet yetkililerine bilgi vermeye zorlayan katı veri erişim yasaları göz önüne alındığında, bu özellikle hassas veya gizli bilgileri ele alan kullanıcılar için önemli gizlilik endişelerini dile getiriyor.
Siber güvenlik uzmanları, Deepseek'in gevşek güvenlik uygulamalarının onu bilgisayar korsanları ve gözetim çabaları için kolay bir hedef haline getirdiği konusunda uyarıyor. Hükümet yetkilileri, gazeteciler ve şirket yöneticileri gibi yüksek değerli bireyler, casusluk veya hedefli saldırılara karşı özellikle savunmasız olabilir. Siyasi, ekonomik veya stratejik avantajlar için tehlikeye atılan verilerden yararlanabileceğinden riskler kişisel gizliliğin ötesine uzanmaktadır.
Daha fazla bilgi edin:Deepseek AI, kullanıcı verilerini yasaklanmış Çin telekomuyla paylaşmakla suçlandı
Bu ciddi güvenlik kusurlarına rağmen, Deepseek Apple'ın App Store'da mevcut ve Apple'ın uygulama inceleme süreci hakkında sorular soruyor. Apple uzun zamandır ekosistemini geliştiriciler için katı gizlilik standartları uygulayarak güvenli olarak pazarladı, ancak Deepseek'in platformdaki varlığı bu anlatıya meydan okuyor. Uygulamanın Android sürümünün, Google Play'deki kullanılabilirliği ile ilgili endişeleri artırarak daha zayıf bir güvenliğe sahip olduğu bildiriliyor.
Bu durum, birçok ülkede veri gizliliği ve kenetle bağları konusundaki endişeler konusunda yasak ve kısıtlamalarla karşılaşan Tiktok'u çevreleyen devam eden incelemeye benzerlikler taşıyor. ABD'li milletvekilleri, Çin'e ait uygulamalarla ilişkili riskler hakkında defalarca uyardı ve bazı uzmanlar Deepseek'in yakında benzer hükümet eylemleriyle karşılaşabileceğini düşünüyor. Geliştiriciler bu güvenlik endişelerini ele almazlarsa, düzenleyici baskı artabilir, bu da potansiyel olarak Deepseek'in uygulama mağazalarından kaldırılmasına veya hassas ortamlarda kullanımı üzerindeki kısıtlamalara yol açabilir.
Şimdilik, kullanıcılara özellikle kişisel veya gizli bilgileri paylaşırken Deepseek kullanırken dikkatli olmaları öneriliyor. Geliştiriciler daha güçlü şifreleme standartları uygulayana ve veri gizliliği endişelerini giderene kadar, uygulama önemli bir güvenlik riski olmaya devam ediyor.
(aracılığıylaArs Technica)