تقرير يكشف عن ثغرات أمنية خطيرة فى تطبيق DeepSeek R1 على iOS
يواجه تطبيق DeepSeek R1 على نظام التشغيل iOS تدقيقًا أمنيًا متزايدًا بعد اكتشاف ثغرات خطيرة تهدد خصوصية المستخدمين.
ووفقًا لتقرير صادر عن شركة الأمن السيبراني NowSecure، فإن التطبيق يعاني من عدة مشكلات أمنية، بما في ذلك تعطيل ميزات الحماية الأساسية واستخدام طرق تشفير قديمة وغير آمنة.
تزايدت المخاوف بعد أن تم العثور على قاعدة بيانات تحتوي على معلومات حساسة للمستخدمين، بما في ذلك سجلات المحادثات والمفاتيح السرية، متاحة دون أي إجراءات مصادقة. وهذا يعني أن أي شخص كان بإمكانه الوصول إلى البيانات بدون الحاجة إلى أي بيانات اعتماد، مما أثار تساؤلات حول كيفية تعامل الشركة مع معلومات المستخدمين الخاصة.
واحدة من أكبر المشكلات التي أشار إليها التقرير هي أن التطبيق لا يستخدم نظام الحماية المدمج في iOS المعروف باسم “App Transport Security (ATS)”، وهو نظام مصمم لضمان نقل البيانات الشخصية عبر قنوات مشفرة وآمنة. بدلاً من ذلك، قام التطبيق بتعطيل هذه الحماية بالكامل، مما يسمح بإرسال البيانات غير المشفرة عبر الإنترنت.
وذكرت NowSecure في تقريرها: “تطبيق DeepSeek R1 على iOS يعطل حماية App Transport Security (ATS) على مستوى النظام، مما يسمح بإرسال البيانات الحساسة عبر قنوات غير مشفرة. نظرًا لأن هذه الحماية معطلة، فإن التطبيق يرسل بالفعل بيانات غير مشفرة عبر الإنترنت، مما يعرضها للاختراق.”
حتى عند تشفير البيانات، فإن التطبيق يستخدم خوارزمية Triple DES (3DES)، والتي تعتبر غير آمنة منذ سنوات بسبب قابليتها للاختراق. وأكد التقرير أن:
“خوارزمية التشفير المستخدمة في هذا التطبيق تعتمد على خوارزمية 3DES المكسورة والمعروفة بعدم أمانها، مما يجعلها خيارًا سيئًا لحماية سرية البيانات”.
حذر الخبراء من أن البيانات التي تبدو غير خطيرة بشكل فردي يمكن استخدامها لتحديد هوية المستخدمين عند تجميعها وتحليلها على مدار الوقت. وأشار التقرير إلى أن:
“على الرغم من أن كل جزء من هذه البيانات لا يشكل خطرًا كبيرًا بمفرده، إلا أن تجميع العديد من نقاط البيانات بمرور الوقت يمكن أن يؤدي بسهولة إلى تحديد هوية الأفراد”.
وقد تم تسليط الضوء على هذا الخطر في حادثة Gravy Analytics الأخيرة، حيث تم استخدام بيانات مجمعة من تطبيقات مختلفة لفك إخفاء هوية المستخدمين على نطاق واسع.
