Uma empresa de cibersegurança está alertando empresas e organizações para não usarem um aplicativo popular da empresa de IA generativa DeepSeek, dizendo que o programa contém uma série de vulnerabilidades de segurança que podem comprometer os dados dos usuários.
O aplicativo DeepSeek, que chocou o mercado de ações quando subiu ao topo da App Store da Apple em janeiro, transmite dados sem criptografia pela internet e armazena de forma insegura nomes de usuário, senhas e outras credenciais, de acordo com uma análise da empresa de segurança de aplicativos móveis NowSecure.
As vulnerabilidades que a empresa encontrou afetam o aplicativo móvel através do qual muitos usuários acessam os modelos de IA do DeepSeek, e não os modelos em si, que também podem ser executados localmente no dispositivo do usuário ou através de uma plataforma de hospedagem separada.
“Como os aplicativos móveis mudam rapidamente e são uma superfície de ataque amplamente desprotegida, eles apresentam um risco muito real para empresas e consumidores”, escreveu a NowSecure. “DeepSeek é de alto perfil, mas não é único.”
Analisando o desempenho do aplicativo DeepSeek em telefones reais, a NowSecure descobriu que a versão para iPhone vinha com um recurso de segurança importante projetado pela Apple desativado.
“O aplicativo DeepSeek para iOS desativa globalmente a Segurança de Transporte de Aplicativos (ATS), que é uma proteção a nível de plataforma iOS que impede que dados sensíveis sejam enviados por canais não criptografados”, escreveram os analistas. “Como essa proteção está desativada, o aplicativo pode (e realmente envia) dados não criptografados pela internet.”
A falta de criptografia pode tornar os usuários suscetíveis a ataques man-in-the-middle, onde alguém com controle sobre a rede na qual o dispositivo está se comunicando pode visualizar ou modificar as comunicações entre o usuário e os servidores do DeepSeek.
A NowSecure também descobriu que, em algumas instâncias, o aplicativo DeepSeek estava armazenando em cache informações sensíveis, incluindo nome de usuário e senha, em um arquivo não criptografado no dispositivo que poderia potencialmente ser revisado por um atacante que ganhasse acesso físico ou remoto ao dispositivo.
Outras vulnerabilidades identificadas pela NowSecure são mais comuns entre aplicativos móveis. Por exemplo, os analistas determinaram que o DeepSeek coleta uma variedade de dados sobre a rede e o dispositivo em que o aplicativo está operando, que podem ser combinados com outras informações e usados por corretores de dados, ou até mesmo por atores mais nefastos, para rastrear e monitorar um usuário.
O relatório da NowSecure chega em um momento em que vários governos estão proibindo seus funcionários de usar o DeepSeek devido a vulnerabilidades de segurança e ao fato de que a empresa está baseada na China.
Na segunda-feira, a governadora de Nova York, Kathy Hochul, anunciou que os funcionários estaduais estavam proibidos de usar os modelos do DeepSeek em seus dispositivos.
O Congresso está atualmente considerando um projeto de lei que implementaria uma proibição semelhante a nível federal, e os governos da Coreia do Sul, Austrália e Taiwan já bloquearam o acesso aos modelos do DeepSeek em dispositivos oficiais.