Специалисты Security Scorecard обнаружили уязвимости в мобильных приложениях DeepSeek для iOS и Android. Согласно отчёту компании, приложения не демонстрируют явного вредоносного поведения, но слабая защита данных и агрессивный сбор информации создают риски для пользователей.
Анализ Android-версии DeepSeek выявил хранение API-ключей, паролей и токенов аутентификации в незашифрованном виде, что делает возможным несанкционированный доступ и захват аккаунтов. Приложение также использует устаревший алгоритм шифрования DES, уязвимый к атакам, и подвержено риску SQL-инъекций.
Одной из самых тревожных находок стал сбор детализированной информации о пользователях, включая текст и голосовые вводы, историю чатов, загруженные файлы, IP-адреса и данные о модели устройства. Особое внимание исследователи уделили фиксации «динамики нажатий клавиш» — технологии, которая позволяет отслеживать ритм и паттерны ввода текста, что может использоваться для идентификации пользователей.
Кроме того, приложение намеренно мешает анализу кода, применяя методы антиотладки. При попытке отладки программа проверяет параметры отладки системы и при их обнаружении автоматически закрывается, что является нетипичным для разработчиков, декларирующих прозрачность своей работы.
Серьёзные вопросы вызывает передача данных в Китай. Анализ кода показал использование библиотек и сервисов, принадлежащих ByteDance, что может означать передачу данных этой компании. Это вызывает беспокойство с точки зрения соответствия международным стандартам защиты информации, таким как GDPR и CCPA.
Кроме того, приложение запрашивает доступ к интернету, состоянию телефона и геолокации, что расширяет возможности сбора информации. Анализ подключаемых внешних сервисов выявил использование сторонних доменов с низким уровнем безопасности, что добавляет риски утечки данных.