تقرير يكشف عن ثغرات أمنية خطيرة فى تطبيق DeepSeek R1 على iOS

يواجه تطبيق DeepSeek R1 على نظام التشغيل iOS تدقيقًا أمنيًا متزايدًا بعد اكتشاف ثغرات خطيرة تهدد خصوصية المستخدمين.

ووفقًا لتقرير صادر عن شركة الأمن السيبراني NowSecure، فإن التطبيق يعاني من عدة مشكلات أمنية، بما في ذلك تعطيل ميزات الحماية الأساسية واستخدام طرق تشفير قديمة وغير آمنة.

قاعدة بيانات غير محمية تسرب بيانات حساسة للمستخدمين

تزايدت المخاوف بعد أن تم العثور على قاعدة بيانات تحتوي على معلومات حساسة للمستخدمين، بما في ذلك سجلات المحادثات والمفاتيح السرية، متاحة دون أي إجراءات مصادقة. وهذا يعني أن أي شخص كان بإمكانه الوصول إلى البيانات بدون الحاجة إلى أي بيانات اعتماد، مما أثار تساؤلات حول كيفية تعامل الشركة مع معلومات المستخدمين الخاصة.

تعطيل حماية النقل الآمن للبيانات

واحدة من أكبر المشكلات التي أشار إليها التقرير هي أن التطبيق لا يستخدم نظام الحماية المدمج في iOS المعروف باسم "App Transport Security (ATS)"، وهو نظام مصمم لضمان نقل البيانات الشخصية عبر قنوات مشفرة وآمنة. بدلاً من ذلك، قام التطبيق بتعطيل هذه الحماية بالكامل، مما يسمح بإرسال البيانات غير المشفرة عبر الإنترنت.

وذكرت NowSecure في تقريرها: “تطبيق DeepSeek R1 على iOS يعطل حماية App Transport Security (ATS) على مستوى النظام، مما يسمح بإرسال البيانات الحساسة عبر قنوات غير مشفرة. نظرًا لأن هذه الحماية معطلة، فإن التطبيق يرسل بالفعل بيانات غير مشفرة عبر الإنترنت، مما يعرضها للاختراق.”

استخدام خوارزمية تشفير قديمة وغير آمنة

حتى عند تشفير البيانات، فإن التطبيق يستخدم خوارزمية Triple DES (3DES)، والتي تعتبر غير آمنة منذ سنوات بسبب قابليتها للاختراق. وأكد التقرير أن:

"خوارزمية التشفير المستخدمة في هذا التطبيق تعتمد على خوارزمية 3DES المكسورة والمعروفة بعدم أمانها، مما يجعلها خيارًا سيئًا لحماية سرية البيانات".

إمكانية تتبع المستخدمين وتحديد هوياتهم

حذر الخبراء من أن البيانات التي تبدو غير خطيرة بشكل فردي يمكن استخدامها لتحديد هوية المستخدمين عند تجميعها وتحليلها على مدار الوقت. وأشار التقرير إلى أن:

"على الرغم من أن كل جزء من هذه البيانات لا يشكل خطرًا كبيرًا بمفرده، إلا أن تجميع العديد من نقاط البيانات بمرور الوقت يمكن أن يؤدي بسهولة إلى تحديد هوية الأفراد".

وقد تم تسليط الضوء على هذا الخطر في حادثة Gravy Analytics الأخيرة، حيث تم استخدام بيانات مجمعة من تطبيقات مختلفة لفك إخفاء هوية المستخدمين على نطاق واسع.

تحذيرات للشركات والمؤسسات الحكومية

حذر تقرير NowSecure من أن المعلومات التي يجمعها DeepSeek R1 يمكن أن يتم دمجها مع بيانات أخرى من ملايين التطبيقات، مما يسهل إلغاء إخفاء هوية المستخدمين بسرعة، وقال التقرير: "ليس فقط أن تطبيق DeepSeek R1 يجمع عشرات نقاط البيانات، بل يمكن أيضًا شراء البيانات المرتبطة من ملايين التطبيقات الأخرى ودمجها وتحليلها بسهولة، مما يجعل عملية فك إخفاء الهوية أمرًا بسيطًا".

دعوات لإعادة النظر في استخدام التطبيق

نظرًا لخطورة هذه الثغرات الأمنية، أوصت NowSecure الشركات والمؤسسات الحكومية والأفراد بإعادة النظر في استخدام تطبيق DeepSeek R1 حتى يتم تنفيذ تحسينات أمنية كبيرة لحماية بيانات المستخدمين وخصوصيتهم