DeepSeek安全隱私暗藏5大資安危機,遭揭正竊取用戶個資數據

Apple新聞 / 2025-02-08 / 作者: / DeepSeek

中國人工智慧競賽中異軍突起的 DeepSeek,近期因低成本、高效能的 AI 模型引起不少討論,甚至也在全球各地 App Store 迅速衝上排行榜,隨後 DeepSeek 安全隱憂也隨之浮現。知名移動應用安全公司 NowSecure 最新研究揭露了 DeepSeek iOS 應用程式存在嚴重安全漏洞,恐為用戶帶來重大資安風險。

DeepSeek安全隱私暗藏5大資安危機,遭揭正竊取用戶個資數據

NowSecure揭露5大DeepSeek安全隱私漏洞風險

DeepSeek 在 2025 年 1 月 25 日起迅速成為 iOS 平台最受歡迎的 AI應用,至今各大媒體也都爭相報導,全球已有數百萬台設備下載並使用,為保護機構資訊安全,美國各級政府、軍方及多個國家已迅速對其祭出 DeepSeek 禁用令。

對於 DeepSeek 安全性是否如同外界所質疑會有竊取個資風險?如今行動安全研究公司 NowSecure 深入分析 DeepSeek 應用程式,發現存在五個主要安全嚴重漏洞,將會導致 DeepSeek 安全漏洞的存在不僅威脅個人隱私,更可能對企業和政府機構造成嚴重影響

  1. 未加密數據傳輸:DeepSeek應用程式在傳輸敏感用戶數據時未使用加密保護,使得這些信息容易遭受攔截和篡改。
  2. 弱加密與硬編碼密鑰:應用程式採用過時的 Triple DES 加密算法技術,並且將加密密鑰硬編碼在應用程式中,嚴重違反安全性。
  3. 不安全的數據存儲:用戶名、密碼和加密密鑰等敏感信息存儲方式不安全,增加了憑證被盜風險。
  4. 大規模數據收集與指紋識別:DeepSeek應用程式收集大量用戶和設備數據,可能被用於追蹤和去匿名化。
  5. 數據傳輸至中國服務器:DeepSeek將用戶數據被傳送至ByteDance控制的服務器,能面臨政府存取風險與合規問題。
NowSecure揭露5大DeepSeek安全隱私漏洞風險

NowSecure 創辦人 Andrew Hoog 指出,DeepSeek的應用程式連最基本的安全防護都沒有,這種疏忽可能導致用戶或企業資料和身份遭受嚴重威脅。

對於 DeepSeek 安全性和隱私問題,也可能會造成多種風險,包括企業機密、戰略計畫與機密通信外洩,中國政府能透過設備資料收集與指紋識別進行全球性監控。

如今不少國家政府單位也都宣布 DeepSeek 禁用,就連意大利的隱私監管機構曾調查該應用是否符合歐洲隱私法規,愛爾蘭政府也提出類似問題,美國官員則開始評估其可能對國家安全造成的影響。

DeepSeek正大量收集和監控全球用戶資訊

儘管 DeepSeek 應用程式存在多項安全漏洞,DeepSeek 其中最關鍵的一點是完全停用了蘋果內建的 App Transport Security(ATS)安全加密機制,導致應用程式能夠將未加密的數據傳輸到網路上,這可能也是刻意將資料回傳中國伺服器,以利進行分析監控。

ATS 是 iOS 平台的一項關鍵安全功能,確保應用程式僅透過加密連線傳輸敏感個人資料。
DeepSeek正大量收集和監控全球用戶資訊

NowSecure 嚴重警告,即使這些數據單獨看來可能不具高度風險,但長期累積確能夠輕易拼湊出用戶的完整身份資訊。這種去匿名化技術在 Gravy Analytics 的數據外洩事件中已被證實可大規模運作,能夠有效辨識數百萬名用戶的真實身份。

即使在某些情境下 DeepSeek 對數據進行加密,該應用仍然使用已知存在漏洞的 3DES(Triple DES) 演算法。該演算法早已被認定為不安全,但 DeepSeek 仍然使用它來保護數據的機密性如同虛設。

NowSecure 分析也證實,DeepSeek 所蒐集的大數據可能被利用來辨識監控目標利器,並且能夠追蹤目標正使用工具和行為,例如一位使用 DeepSeek 應用程式的用戶可能正在使用最新款 iPad 設備,並透過 FirstNet(美國公共安全專網)連接到行動數據,這類用戶顯然會成為高價值的情報目標。

DeepSeek正大量收集和監控全球用戶資訊 1

更值得注意,DeepSeek 不僅在 iOS 應用程式中收集數十種資料,還可能與來自數百萬款應用的其他相關數據結合,通常這些數據都很容易購買、彙整和並交叉比對,就能快速去匿名化使用者,進一步提高追蹤和監控用戶活動。

DeepSeek正大量收集和監控全球用戶資訊 2

對於 DeepSeek 資料都會回傳儲存在中國服務器,將會再次出現類似TikTok爭議,DeepSeek可能面臨被迫向中國政府披露美國用戶敏感信息的風險。

DeepSeek 安全隱私與專家建議

DeepSeek 的安全問題並非首例,過去也曾發生資料庫重大漏洞,DeepSeek 公司未能妥善保護包含超過百萬筆日誌記錄的數據庫,其中包括聊天歷史和密鑰資訊,造成未經授權的用戶也能存取這些機密數據。

隨著AI技術的快速發展和普及,類似的安全漏洞可能在其他AI應用中普遍存在,NowSecure 網絡安全專家呼籲,在採用新興AI工具時,企業和個人用戶都應該更加謹慎,將數據安全置於首要位置,強烈建議企業和政府機構立即採取以下行動:

  • 要求立即移除 DeepSeek 應用程式:無論是在管理設備(MDM)或員工自帶設備(BYOD)上。
  • 尋找替代 AI 平台:改採用 ChatGPT或Gemini 等,優先考量具備更強數據保護與安全性的解決方案。
  • 持續監測所有行動應用程式:確保新出現的風險能夠即時發現與應對。

當然以上不管是針對企業或政府單位,就算 NowSecure 主要是針對 DeepSeek iOS 發現有嚴重漏洞和隱私外洩問題,對於 DeepSeek Android 版和網頁版也同樣都會存在這些安全隱私疑慮,甚至可能在資料收集方式會更嚴重。

延伸閱讀:

資料來源:nowsecure

喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團訂閱瘋先生Google新聞TelegramInstagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。

返回頂端