Marlene
Die chinesische KI DeepSeek (App-Store-Link) ließ noch vor kurzem die Aktien von NVIDIA und Co fallen und wurde über Nacht zur meist geladenen iOS-App. Nun haben Forscher diverse Sicherheitslücken in der App aufgetan. Vor kurzem wurde bereist bekannt, dass DeepSeek Chatverläufe und andere sensible Informationen in einer Datenbank sicherte, die ohne Authentifizierung aufgerufen werden konnte. Nun sind weitere gravierende Mängel ans Licht gekommen.
Nach der Einführung von DeepSeek haben sich bereits mehrere Datenschutzbeauftragte und Behörden aus Europa und den USA zu Wort gemeldet. Sie stellten die Konformität von DeepSeek mit geltendem europäischem Recht infrage und äußerten Bedenken hinsichtlich der Auswirkungen auf die nationale Sicherheit.
Kurz darauf wurde bekannt, dass die Entwickler eine Datenbank, in der verschiedene Chatverläufe und geheime Schlüssel gespeichert waren, nicht ausreichend gesichert hatten.
Nun hat das Unternehmen NowSecure DeepSeek erneut unter die Lupe genommen und weitere Sicherheitsmängel sowohl in der iPhone-App als auch in der Android-Version entdeckt.
Apples ATS wird gezielt deaktiviert
So fanden die Forscher heraus, dass die DeepSeek-App, global das von Apple entwickelte und standardmäßig aktivierte App-Transport-Security-System (ATS) deaktiviert. NowSecure schreibt:
„Die DeepSeek-iOS-App deaktiviert global die App Transport Security (ATS), einen Schutz auf iOS-Plattformebene, der verhindert, dass sensible Daten über unverschlüsselte Kanäle gesendet werden. Da dieser Schutz deaktiviert ist, kann die App unverschlüsselte Daten über das Internet senden (und tut dies auch).“
Die gesammelten Daten könnten genutzt werden, um die Anonymität der Nutzer aufzuheben, da sie über die Zeit leicht aggregiert werden können und so Rückschlüsse auf einzelne Personen ermöglichen. Zusätzlich setzt DeepSeek an Stellen, an denen Verschlüsselung zum Einsatz kommt, veraltete Methoden ein – genauer gesagt die fehleranfällige Triple-DES-Verschlüsselung. NowSecure hat zudem hart kodierte Verschlüsselungsschlüssel in der App entdeckt.
Darüber hinaus werden die über DeepSeek gesammelten Daten nach China gesendet und unterliegen dort den nationalen Gesetzen. Die Nutzerdaten werden an Server übertragen, die von ByteDance, dem Unternehmen hinter TikTok, kontrolliert werden – was Bedenken hinsichtlich eines möglichen staatlichen Zugriffs aufwirft.
Unternehmen und Behörden sollten DeepSeek deinstallieren
NowSecure kommt zu dem Schluss, dass die Nutzung von DeepSeek nicht sicher ist, und rät dringend davon ab, die App im unternehmerischen oder behördlichen Umfeld zu verwenden. Doch auch private Nutzer und Nutzerinnen sollten sich nun gut überlegen, ob sie DeepSeek weiterhin nutzen möchten.
Mel
Ist da jetzt wirklich jemand überrascht? Ich meine, abgesehen von den Dummköpfen, die sich die App erstmal gezogen haben, weil sie bestimmt nichts schlechtes im Sinn hat. In jedem Fall war klar, dass es mit der App so endet wie es gerade passiert. Entweder es wird nachgewiesen, dass die App u.a. nach Hause telefoniert oder die Amis leiten einen fetten Shitstorm ein und reden das Tool schlecht bis es wirklich jeder gefressen hat. Beides ist nicht gut für die App.
Aber hey, was machen wir uns einen Kopf, dass uns nun eine KI-App veralbert. Themu und TikTok haben längst ein solides Netzwerk erstellt.
China ist der erklärte Wirtschaftsfeind der USA, denn sie kennen die Prognosen nach denen China Ende der Zwanziger die USA wirtschaftlich überholt haben. 1,3 Mrd vs. 450 Mio Einwohner lassen das ohnehin vermuten. Wäre nur eine Frage der Zeit.
Andererseits schaut Euch die Politik an: Die Amis wollen herrschen. Wir geben nur noch nachdem wir (mehr) bekommen. Und wer das nicht will … ja was dann?
Jedenfalls müssen ausländische Unternehmen mit Marktmacht zurück gedrängt werden.
Und alles wird begleitet von irgendwelchen Nachrichten, die den Gegner schlecht aussehen lassen. Natürlich werden die Rechenzentren zu denen DeepSeek funkt nicht in Europa stehen oder anderswo. Vielleicht kommt das noch, vielleicht ist es ByteDance. Wer weiß das schon genau.
Und sie haben Sicherheitsmängel. Bei einer 1.0-Version ist es doch nicht ungewöhnlich. Oder sehe ich das falsch. Was soll also dieses Geschrei?
Die Frage ist auch, wie kann diese App die Prüfungen bei Apple bestehen.
😉
Deep Seek macht auch nur Sinn, wenn man die Daten lokal speichert und die AI auf dem eigenen Rechner nutzt. Es gibt mehrere Versionen, die auf unterschiedlichen Rechnern laufen und auch lokal berechnet werden.
Ja ne, is klar. Auch das Halbwissen mal erweitert? Nicht jeder hat einfach so 80 TB über um mal eben Deepseek lokal zu nutzen mit allen Bibliotheken.
DeepSeek ist in innerhalb Perplexity verfügbar. Hier jedoch ohne Zensur und in den USA gehostet.
Sch… auf den Datenschutz.
Wer ein Handy hat, hat den privaten Bereich für alle freigegeben. Das sollte jedem klar sein. 🤷♂️
Wer keine Daten von sich selbst oder seinen Kontakten weiter geben will, sollte sich mit „online“ gar nicht erst abgeben. ✔️