モバイルセキュリティ企業NowSecureは、中国の人工知能(AI)企業DeepSeekが提供するiOSアプリに、セキュリティ上の欠陥があることを発見しました。同アプリにはすでにセキュリティ上の問題が指摘されていましたが、今回明らかになった脆弱性は、より深刻なものであるとされています。
機密データを暗号化なしで送信
DeepSeekのiOSアプリでは、機密データが暗号化されていないチャネルで送信されることを防ぐiOSのプラットフォーム機能「App Transport Security(ATS)」がグローバルで無効化されています。このため、アプリが暗号化されていないデータをインターネットに送信することが可能な状態になっています。
実際に、暗号化されていないデータがすでに送信されていることが確認されており、このデータが非匿名化に利用される恐れも指摘されています。
数百万人の個人を特定可能?
暗号化されていないデータ自体は、単独ではリスクが低い場合もありますが、長期間にわたってデータが集積されることで、個人の特定につながる可能性があるとされています。このようなデータを用いることで、数百万人規模の非匿名化が行われる可能性があり、注意が必要です。
潜在的なスパイ活動の標的も特定可能?
DeepSeekでは暗号化されたデータも存在するものの、時代遅れの「3DES」というアルゴリズムが使用されています。このアルゴリズムでは、データの機密性を保つには不十分とされています。
さらに、アプリによって収集されたデータが、潜在的なスパイ活動の標的を特定する目的で利用される可能性もあると指摘されており、今後の動向に注目が集まっています。
Source: 9to5Mac
- Original:https://iphone-mania.jp/app-592380/
- Source:iPhone Mania
- Author:lexi
Amazonベストセラー
Now loading...