أثار تطبيق DeepSeek، أحد أشهر التطبيقات على نظام iOS، ضجة كبيرة في الأوساط الأمنية بعد اكتشاف ثغرات خطيرة تتعلق بحماية بيانات المستخدمين.
وفقًا لتقرير صادر عن NowSecure، فإن التطبيق يقوم بإرسال بيانات المستخدمين دون تشفير إلى خوادم تابعة لشركة ByteDance، المالكة لمنصة تيك توك، مما يثير مخاوف أمنية ضخمة تتعلق بالخصوصية والمراقبة الرقمية.
كيف يقوم DeepSeek بتسريب بيانات المستخدمين؟
أحد أكبر العيوب المكتشفة في التطبيق هو تعطيل ميزة أمان النقل (ATS) الخاصة بنظام iOS، والتي تفرض التشفير عند نقل البيانات.
نتيجة لذلك، يتم إرسال معلومات حساسة مثل أسماء المستخدمين وكلمات المرور وبيانات الجهاز عبر الإنترنت دون أي حماية، ما يجعلها عرضة لهجمات الرجل في المنتصف (MITM).
على الرغم من وجود بعض آليات التشفير، إلا أن DeepSeek يعتمد على خوارزمية 3DES القديمة، والتي تُعتبر غير آمنة وفقًا لمعايير التشفير الحديثة.
كما أن التطبيق يستخدم مفاتيح تشفير ثابتة ومخزنة ضمن الكود البرمجي، مما يعني أن أي مهاجم لديه معرفة متقدمة يمكنه بسهولة فك تشفير البيانات المسروقة.
يحتفظ التطبيق ببيانات المستخدمين الحساسة، بما في ذلك كلمات المرور ومفاتيح التشفير، في ذاكرة التخزين المؤقت على الجهاز بطريقة غير آمنة، هذا يعني أنه في حال حصول مهاجم على وصول مادي إلى الجهاز، يمكنه بسهولة استخراج هذه المعلومات واستغلالها.
البيانات التي يتم إرسالها إلى ByteDance
تشير التحليلات إلى أن البيانات التي يتم إرسالها إلى خوادم ByteDance تشمل:
- معلومات الجهاز، مثل الطراز ونظام التشغيل وإعدادات الشبكة.
- بيانات شخصية مثل معرفات المستخدمين وسجلات الاستخدام.
- معلومات الاتصال والرسائل الداخلية للتطبيق.
يُذكر أن خوادم ByteDance تخضع للقوانين الصينية، والتي قد تلزم الشركات بمشاركة البيانات مع الجهات الحكومية، مما يزيد من القلق بشأن الاستخدام غير المشروع لهذه المعلومات.
هذا أيضا أكبر دليل على أن ديب سيب ليس مشروعا من شركة ناشئة مستقلة بل مشروع حكومي صيني متكامل، وتشير العديد من التقارير إلى أت تكلفة تطوير الذكاء الإصطناعي الصيني وصلت إلى 1.5 مليار دولار وليس 6 مليون دولار التي تم الترويج لها في البداية.
كيف يسرب ديب سيك بياناتك في الصين
يتم إرسال بيانات المستخدم والجهاز الحساسة عبر قنوات غير آمنة، مما يعرضها للتنصت والتلاعب. ويتفاقم هذا الخلل بسبب تعطيل التطبيق العالمي لأمن نقل التطبيقات (ATS) في نظام التشغيل iOS، وهو حماية مدمجة مصممة لفرض الاتصالات المشفرة.
كما يستخدم التطبيق تشفير Triple DES (3DES) القديم مع مفاتيح مبرمجة ومتجهات تهيئة معاد استخدامها (IVs)، تنتهك هذه الممارسات معايير الأمان الحديثة، مما يجعل البيانات المشفرة عرضة لفك التشفير من قبل المهاجمين.
أضف إلى ما سبق أنه يتم تخزين المعلومات المهمة مثل أسماء المستخدمين وكلمات المرور ومفاتيح التشفير بشكل غير آمن على الأجهزة، مما يزيد من خطر سرقة بيانات الاعتماد.
يجمع التطبيق بيانات مفصلة للمستخدم والجهاز، بما في ذلك أسماء الأجهزة وأنظمة التشغيل واعدادات الشبكة، يمكن تجميع هذه البيانات لإزالة هوية المستخدمين وتسهيل التتبع.
وفي النهاية يتم نقل بيانات المستخدم إلى خوادم Volcengine التابعة لشركة ByteDance، والتي تحكمها القوانين الصينية التي قد تجبر على الكشف عنها للحكومة، وهذا يثير مخاوف كبيرة بشأن الامتثال والمراقبة للشركات والحكومات التي تستخدم التطبيق.
تحذير من تنزيل تطبيق DeepSeek
بعد نشر التقرير، بدأت العديد من الحكومات والجهات الأمنية بالتحركة لتنفيذ حظر ديب سيك:
- الولايات المتحدة: قامت المؤسسات الحكومية بحظر التطبيق على الأجهزة الرسمية.
- كوريا الجنوبية وأستراليا وتايوان: أصدرت تحذيرات للمستخدمين حول أخطار التطبيق وأوصت بحذفه.
- المؤسسات الأمنية: نصحت الشركات بعدم استخدام التطبيق على الأجهزة الخاصة بالعمل بسبب مخاوف تتعلق بالتجسس وسرقة البيانات.
تدرس دول أخرى مثل اليابان والهند وفرنسا وبريطانيا اتخاذ إجراءات مماثلة لحظر التطبيق الصيني المشبوه.
في ظل هذه التهديدات، ينصح الخبراء باتباع الإجراءات التالية:
- إلغاء تثبيت التطبيق فورًا وتجنب استخدامه على الأجهزة الشخصية أو الرسمية.
- استخدام تطبيقات بديلة أكثر أمانًا، مثل النسخ المستضافة محليًا من مايكروسوفت أو حلول الذكاء الاصطناعي الأخرى.
- مراجعة أذونات التطبيقات والتأكد من عدم منح التطبيقات غير الموثوقة إمكانية الوصول إلى البيانات الحساسة.
- استخدام شبكة VPN مشفرة لحماية بياناتك أثناء التصفح والتواصل عبر الإنترنت.
