Uma empresa de cibersegurança está alertando empresas e organizações para não usarem um aplicativo popular da companhia de IA generativa DeepSeek, afirmando que o programa contém diversas vulnerabilidades de segurança que podem comprometer os dados dos usuários.
O aplicativo DeepSeek, que surpreendeu o mercado de ações ao atingir o topo da Apple App Store em janeiro, transmite dados sem criptografia pela internet e armazena de forma insegura nomes de usuários, senhas e outras credenciais, segundo a análise da empresa de segurança móvel NowSecure.
As vulnerabilidades identificadas pela empresa afetam o aplicativo móvel — por meio do qual muitos usuários acessam os modelos de IA do DeepSeek —, mas não os próprios modelos, que também podem ser executados localmente no dispositivo do usuário ou em uma plataforma de hospedagem separada.
“Como os aplicativos móveis mudam rapidamente e são uma superfície de ataque amplamente desprotegida, eles representam um risco real para empresas e consumidores”, escreveu a NowSecure. “DeepSeek é de alto perfil, mas não é único.”
Ao analisar o desempenho do aplicativo DeepSeek em celulares reais, a NowSecure descobriu que a versão para iPhone tinha uma importante proteção de segurança da Apple desativada.
“O aplicativo DeepSeek para iOS desativa globalmente o App Transport Security (ATS), uma proteção nativa do iOS que impede o envio de dados sensíveis por canais não criptografados”, escreveram os analistas. “Com essa proteção desativada, o aplicativo pode (e de fato faz) transmitir dados não criptografados pela internet.”
A ausência de criptografia pode tornar os usuários vulneráveis a ataques do tipo man-in-the-middle, em que alguém com controle sobre a rede de comunicação do dispositivo pode visualizar ou modificar as comunicações entre o usuário e os servidores do DeepSeek.
A NowSecure também descobriu que, em alguns casos, o aplicativo DeepSeek armazenava em cache informações sensíveis, como nome de usuário e senha, em um arquivo não criptografado no dispositivo — o que poderia ser acessado por um invasor que obtivesse acesso físico ou remoto ao aparelho.
Outras vulnerabilidades identificadas pela NowSecure são mais comuns em aplicativos móveis. Por exemplo, os analistas constataram que o DeepSeek coleta uma variedade de dados sobre a rede e o dispositivo em que está sendo executado. Essas informações podem ser combinadas com outros dados e usadas por corretores de dados ou até por agentes mal-intencionados para rastrear e monitorar os usuários.
O relatório da NowSecure surge em um momento em que diversos governos estão proibindo seus funcionários de usarem o DeepSeek, devido às vulnerabilidades de segurança e ao fato de a empresa ser sediada na China.
A governadora de Nova York, Kathy Hochul, anunciou que os funcionários estaduais estão proibidos de usar os modelos do DeepSeek em seus dispositivos.
O Congresso dos Estados Unidos está atualmente analisando um projeto de lei para implementar uma proibição semelhante em nível federal. Além disso, os governos da Coreia do Sul, Austrália e Taiwan já bloquearam o acesso aos modelos do DeepSeek em dispositivos oficiais.
