Schwerwiegende Sicherheitslücken in DeepSeek-iOS-App entdeckt

Das Sicherheitsunternehmen NowSecure hat mehrere kritische Schwachstellen in der äußerst beliebten DeepSeek-iOS-App aufgedeckt. Diese Mängel stellen nicht nur eine Gefahr für den Datenschutz, sondern auch für die Sicherheit der Nutzer:innen dar. Als die App zunächst in die App-Store-Charts stieg, erlangte sie viel Aufmerksamkeit für ihre beeindruckenden KI-Fähigkeiten und die vergleichsweise geringe Hardware-Anforderung. Doch schnell zeigten sich massive Sicherheits- und Datenschutzprobleme, die nun dramatische Ausmaße annehmen.

Alarmierende Sicherheitsprobleme

Eines der schwerwiegendsten Probleme ist, dass DeepSeek die App Transport Security (ATS) von Apple global deaktiviert hat. Diese Maßnahme, die eigentlich dazu dient, sensible Daten ausschließlich über verschlüsselte Verbindungen zu übertragen, wurde vollständig ausgeschaltet. In Konsequenz sendet DeepSeek personenbezogene Informationen unverschlüsselt über das Internet. Dies macht die Kommunikation über die App anfällig für Angriffe und Abhöraktionen. Darüber hinaus setzt die App, wo Daten verschlüsselt werden, auf den längst als unsicher geltenden Verschlüsselungsstandard 3DES. Dieser Algorithmus bietet kaum Schutz und birgt ein erhebliches Risiko für die Vertraulichkeit gespeicherter oder übertragener Daten.

Neben den technischen Sicherheitslücken ist auch das Datenmanagement ein Grund zur Sorge. DeepSeek sammelt systematisch große Mengen an Informationen über ihre Nutzer:innen, darunter zahlreiche kleine Datenpunkte, die bei der Kombination zu detaillierten Profilen führen können. Die so erfassten Informationen könnten genutzt werden, um Personen zu de-anonymisieren und sogar potenzielle Spionageziele zu identifizieren. Besonders sensibel ist dies bei Nutzern, die auf staatlichen Netzwerken wie FirstNet, dem Breitbandnetz für die öffentliche Sicherheit in den USA, aktiv sind. Die Anhäufung solch umfassender personenbezogener Daten stellt erhebliche Risiken dar, insbesondere in Kombination mit den bereits bekannten Sicherheitslücken.

Frühere Schwachstellen und Bedenken

Schon früh stand DeepSeek unter starkem Druck von Datenschützern und Regulierungsbehörden. Sowohl europäische Institutionen wie italienische und irische Datenschutzbeauftragte als auch US-Behörden begannen Ermittlungen, um die Einhaltung von Datenschutzstandards und mögliche nationale Sicherheitsrisiken zu überprüfen. Bereits in der Vergangenheit wurde bekannt, dass die App eine ungesicherte Datenbank betrieb, in der mehr als eine Million Datensätze, darunter Chatverläufe und geheime Schlüssel, für externe Zugriffe offen zugänglich waren. Diese Enthüllung löste eine Welle der Kritik aus und belastete das Vertrauen in die Anwendung stark.

DeepSeek-iOS-App: Konsequenzen und Reaktionen

NowSecure bewertet die iOS-Version von DeepSeek zwar als bedenklich, sieht jedoch die Android-Version als noch problematischer an. Dies wirft ein schlechtes Licht auf das Sicherheitsmanagement des Unternehmens insgesamt. In der Wirtschaft haben die Enthüllungen bereits erste Reaktionen ausgelöst. Einige Unternehmen, insbesondere im Bereich der sozialen Medien, haben Angestellten die Nutzung von DeepSeek auf beruflichen wie privaten Geräten vollständig untersagt. Diese Entscheidung zeigt, wie erheblich die Risiken eingeschätzt werden, vor allem wenn es um den Schutz sensibler Geschäftsdaten geht.

Via 9to5Mac