Le nuove app mobili dell’azienda cinese di intelligenza artificiale (AI) DeepSeek sono rimaste tra le prime tre applicazioni “gratuite” più scaricate per dispositivi Apple e Google sin dal loro debutto il 25 gennaio 2025. Tuttavia, gli esperti avvertono che molte delle scelte di design di DeepSeek — come l’uso di chiavi di crittografia hard-coded e l’invio di dati utente e dispositivo non crittografati a società cinesi — introducono una serie di evidenti rischi per la sicurezza e la privacy.
Interesse pubblico e preoccupazioni per la privacy
L’interesse pubblico per le app di chat AI di DeepSeek è cresciuto a seguito di numerosi report che indicano come la giovane azienda cinese sia riuscita a eguagliare le capacità dei chatbot all’avanguardia utilizzando una frazione dei chip specializzati su cui fanno affidamento le principali aziende di AI. Attualmente, DeepSeek è la terza app “gratuita” più scaricata sull’Apple Store e la numero uno su Google Play.
Analisi di sicurezza di NowSecure
La rapida ascesa di DeepSeek ha attirato l’attenzione di NowSecure, un’azienda di sicurezza mobile con sede a Chicago che aiuta i clienti a valutare le app mobili per minacce alla sicurezza e alla privacy. In un’analisi pubblicata oggi, NowSecure ha esortato le organizzazioni a rimuovere l’app mobile iOS di DeepSeek dai loro ambienti, citando preoccupazioni di sicurezza.
Rischi di sicurezza e privacy
Andrew Hoog, fondatore di NowSecure, ha dichiarato che non è stata ancora completata un’analisi approfondita dell’app DeepSeek per dispositivi Android, ma che ci sono pochi motivi per credere che il suo design di base sia funzionalmente molto diverso. Hoog ha spiegato a KrebsOnSecurity che ci sono diverse caratteristiche dell’app iOS di DeepSeek che suggeriscono la presenza di rischi profondi per la sicurezza e la privacy. Per cominciare, l’app raccoglie una quantità notevole di dati sul dispositivo dell’utente.
Condivisione dei dati e crittografia
NowSecure ha avvertito che le informazioni sul dispositivo condivise, combinate con l’indirizzo Internet dell’utente, potrebbero essere utilizzate per de-anonimizzare gli utenti dell’app iOS di DeepSeek. Il rapporto nota che DeepSeek comunica con Volcengine, una piattaforma cloud sviluppata da ByteDance (i creatori di TikTok), anche se NowSecure ha affermato che non è chiaro se i dati stiano semplicemente sfruttando il servizio cloud di trasformazione digitale di ByteDance o se la condivisione delle informazioni dichiarata si estenda ulteriormente tra le due aziende.
Trasmissione dei dati non crittografata
Forse ancora più preoccupante, NowSecure ha dichiarato che l’app iOS trasmette informazioni sul dispositivo “in chiaro”, senza alcuna crittografia per incapsulare i dati. Ciò significa che i dati gestiti dall’app potrebbero essere intercettati, letti e persino modificati da chiunque abbia accesso a una delle reti che trasportano il traffico dell’app. “L’app iOS di DeepSeek disabilita globalmente la App Transport Security (ATS), che è una protezione a livello di piattaforma iOS che impedisce l’invio di dati sensibili su canali non crittografati”, ha affermato NowSecure.
Fonte: Krebs on Security
