Redazione RHC : 10 Febbraio 2025 20:41
I ricercatori di NowSecure hanno avviato un audit di sicurezza sull’app mobile DeepSeek per iOS e hanno scoperto gravi problemi. Il principale è che l’applicazione trasmette dati sensibili senza alcuna crittografia, esponendoli al rischio di intercettazione e manipolazione. Gli esperti sottolineano inoltre che l’applicazione non rispetta le norme di sicurezza e raccoglie una grande quantità di dati sugli utenti e sui loro dispositivi.
“DeepSeek per iOS trasmette alcuni dati di accesso tramite Internet senza crittografia”, hanno scritto gli analisti. – Ciò espone tutti i dati presenti nel traffico Internet ad attacchi sia passivi che attivi. DeepSeek per iOS disattiva a livello globale App Transport Security (ATS), una funzionalità di sicurezza a livello di piattaforma iOS che impedisce l’invio di dati sensibili tramite canali non crittografati. Poiché questa protezione è disattivata, l’app può trasmettere (e lo fa) dati non crittografati su Internet.”
Il rapporto di NowSecure elenca anche una serie di debolezze nell’implementazione della crittografia dei dati degli utenti. Tra questi rientra l’uso dell’algoritmo non sicuro 3DES; chiavi simmetriche che sono le stesse per tutti gli utenti iOS e sono codificate e memorizzate sul dispositivo; riutilizzo dei vettori di inizializzazione.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Inoltre, è stato rivelato che i dati venivano trasmessi a server gestiti dalla piattaforma di cloud computing e archiviazione dati Volcano Engine, di proprietà della società cinese ByteDance, proprietaria anche di TikTok.
I ricercatori hanno avvertito che, sebbene alcuni di questi dati fossero correttamente crittografati tramite TLS, una volta decrittografati sui server controllati da ByteDance, le informazioni sarebbero potute essere abbinate ad altri dati degli utenti raccolti altrove. Ciò potrebbe in ultima analisi portare all’identificazione di individui specifici e al potenziale monitoraggio delle richieste.
Sebbene la verifica di NowSecure non sia ancora stata completata, i ricercatori si sono subito affrettati ad avvertire che l’app DeepSeek per iOS “non è progettata o preparata per fornire una protezione di base per i tuoi dati e la tua identità”.
Secondo loro, DeepSeek per iOS non rispetta nemmeno le regole di sicurezza fondamentali, deliberatamente o accidentalmente. Allo stesso tempo, gli esperti hanno ritenuto l’app DeepSeek per Android ancora più problematica e hanno consigliato di rimuoverla.
Va notato che la scorsa settimana l’Associated Press ha riferito che il sito web DeepSeek è stato creato per trasmettere i dati degli utenti all’infrastruttura di China Mobile, una società di telecomunicazioni statale cinese a cui è vietato operare negli Stati Uniti.
Ad oggi, diversi paesi, tra cui Australia, Paesi Bassi e Corea del Sud, nonché numerose agenzie governative in India e negli Stati Uniti, hanno vietato l’uso di DeepSeek sui dispositivi governativi per motivi di sicurezza nazionale.
RedazioneUno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...
Secondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
