Siber Güvenlik Uzmanları DeepSeek Açıklarını Uyarıyor: Hükümetler Uygulamayı Yasaklıyor!
Bir siber güvenlik şirketi, popüler bir uygulama kullanmamaları konusunda işyerlerini ve kuruluşları uyarıyor. Bu uygulama, DeepSeek adlı bir yapay zeka şirketine ait ve kullanıcıların verilerini tehlikeye atabilecek bir dizi güvenlik açığı içeriyor.
Ocak ayında Apple App Store’un zirvesine çıkarak borsada şaşkınlık yaratan DeepSeek uygulaması, internet üzerinden şifrelenmemiş veri gönderiyor ve kullanıcı adları, şifreler ve diğer bilgiler güvenli olmayan bir şekilde saklanıyor. Bu durum, mobil uygulama güvenliği firması NowSecure’un analizi ile ortaya kondu.
Şirketin bulduğu bu güvenlik açıkları, kullanıcıların pek çoğunun DeepSeek’in yapay zeka modellerine erişmek için kullandığı mobil uygulamayı etkiliyor, ancak modellerin kendisini değil. Modeller ayrıca yerel cihazlarda veya ayrı bir platform üzerinde de çalıştırılabiliyor.
NowSecure, “Mobil uygulamalar hızla değişir ve genelde korunmasız bir saldırı yüzeyi oluştururlar, bu nedenle şirketler ve tüketiciler için gerçek bir risk sunarlar. DeepSeek dikkat çekici olabilir ancak bu konuda benzersiz değil,” diye belirtiyor. Gerçek telefonlarda DeepSeek uygulamasının performansını analiz eden NowSecure, iPhone versiyonunun önemli bir güvenlik özelliğinin devre dışı bırakıldığını ortaya çıkardı.
Analistler, “DeepSeek iOS uygulaması genel olarak Apple tarafından tasarlanan bir güvenlik özelliği olan App Transport Security’yi (ATS) devre dışı bırakıyor ve bu özellik hassas verilerin şifrelenmemiş kanallar üzerinden gönderilmesini önlüyor,” diye yazdı. “Bu koruma devre dışı olduğundan, uygulama internet üzerinden şifrelenmemiş veri gönderebilir (ve bunu yapıyor).”
Şifreleme eksikliği, kullanıcıları, cihazın iletişim kurduğu ağa hakim biri tarafından iletişimlerin gözlemlenebileceği veya değiştirilebileceği ortadaki adam saldırılarına karşı savunmasız hale getirebilir.
NowSecure ayrıca bazı durumlarda DeepSeek uygulamasının kullanıcı adı ve şifre gibi hassas bilgileri cihaz üzerindeki şifrelenmemiş bir dosyada önbelleğe aldığını buldu. Bu dosya, cihaza fiziksel veya uzaktan erişim sağlayan bir saldırgan tarafından incelenebilir.
NowSecure’un belirlediği diğer güvenlik açıkları mobil uygulamalar arasında daha yaygındır. Analistler, DeepSeek’in uygulama üzerinde çalıştığı ağ ve cihaz hakkında çeşitli veriler topladığını, bunun da diğer bilgilerle birleştirilerek veri aracılar veya potansiyel olarak daha kötü niyetli aktörler tarafından bir kullanıcıyı izlemek ve takip etmek için kullanılabileceğini belirledi.
NowSecure raporu, birkaç hükümetin çalışanlarının güvenlik açıkları nedeniyle DeepSeek’i kullanmalarını yasaklamasının ardından geldi. Ayrıca şirketin Çin merkezli olması bu kararlarda etkili oldu.
Pazartesi günü, New York Valisi Kathy Hochul, devlet çalışanlarının DeepSeek modellerini cihazlarında kullanmalarının yasaklandığını açıkladı.
Kongre, federal düzeyde benzer bir yasağı uygulamaya koyacak bir yasa tasarısını şu anda değerlendiriyor ve Güney Kore, Avustralya ve Tayvan hükümetleri zaten resmi cihazlarda DeepSeek modellerine erişimi engelledi.
