A finals de gener els vam donar a conèixer una curiositat sobre una app que havia superat en descàrregues a ChatGPT. Es tracta de l'app DeepSeek que és molt similar a ChatGPT però que és d'origen xinès. Va donar molt de què parlar a causa que es va desenvolupar amb un cost menor a les inversions multimilionàries realitzades i conegudes d'OpenAI, també per un model de llenguatge d'IA que va sorprendre a propis i estranys al moment de realitzar les primeres consultes. No tot és tan positiu, almenys no com quan Apple es va pronunciar positivament al respecte. Una empresa va descobrir diverses fallades de seguretat a l'app per a iPhone, fallades que realment haurien de preocupar els usuaris que van instal·lar DeepSeek.
Aquests són les fallades de seguretat que DeepSeek té al seu interior
NowSecure evidencia les fallades de seguretat de DeepSeek
NowSecure és l'empresa de seguretat que va donar a conèixer aquestes fallades relacionades amb l'app DeepSeek. La més rellevant és la fallada derivada del sistema de seguretat involucrat en el transport d'apps que ve integrat d'Apple. El denominat "ATS" és el que garanteix que les dades personals que són de caràcter confidencial s'enviïn en canals xifrats. DeepSeek el va desactivar, per la qual cosa qualsevol dada que viatgi, segons, per un canal xifrat es podria revelar.
Les dades que un usuari comú pot exposar a DeepSeek poden semblar irrellevants, l'inconvenient és quan es realitza una combinació que produeix que l'anonimat pugui desaparèixer. NowSecure indica que amb el temps, totes les dades que s'afegeixen a DeepSeek pot produir la identificació fàcil dels usuaris que la fan servir. Ells citen l'exemple amb una filtració de dades que els vam informar prèviament, la coneguda filtració de l'empresa Gravy Analytics.
Presentació de DeepSeek a la Xina
Un altre problema important a DeepSeek és l'algorisme de xifratge que s'ocupa per encriptar les dades, simplement és obsolet ja que el mateix algorisme està trencat. Les dades que DeepSeek recopila podrien servir per identificar diferents usuaris, des d'un perfil baix fins a perfils que puguin ser considerats d'alt valor per a activitats d'espionatge. Això es deu al fet que pot detectar la connexió d'origen del dispositiu. En l'exemple citen un usuari que es va connectar a un operador de banda ampla de seguretat pública dels Estats Units.
L'app de DeepSeek d'iOS no és segura, considera desinstal·lar-la
En conclusió, són cinc els riscos identificats resumits en:
- Transmissió de dades sense xifrar
- Claus de xifratge febles
- Emmagatzematge de dades insegur
- Àmplia recopilació de dades i empremtes digitals
- Dades enviades a la Xina
Vista prèvia de DeepSeek a l'App Store
Aquest últim punt és el que podria alterar el govern dels Estats Units, més tenint en compte que va generar rellevància a causa dels recursos que es van utilitzar per al desenvolupament de DeepSeek. El problema de les dades és que s'envien, curiosament, a servidors de ByteDance, els desenvolupadors darrere de l'aplicació de TikTok.
NowSecure recomana eliminar immediatament l'app de DeepSeek a l'iPhone, a més d'explorar altres alternatives d'IA que siguin segures quant a l'entorn d'apps mòbils i la protecció de dades.