Ein renommiertes Cybersicherheitsunternehmen warnt Unternehmen und Organisationen davor, die beliebte App des generativen KI-Unternehmens DeepSeek zu nutzen. Laut den Experten enthält das Programm mehrere Sicherheitslücken, die Nutzerdaten gefährden könnten.
Die DeepSeek-App, die im Januar für Aufsehen an der Börse sorgte, als sie an die Spitze des Apple App Stores kletterte, überträgt Daten unverschlüsselt über das Internet und speichert Benutzernamen, Passwörter und andere Anmeldedaten unsicher. Das geht aus einer Analyse des Mobile-Security-Unternehmens NowSecure hervor.
Die entdeckten Schwachstellen betreffen die mobile App, über die viele Nutzer auf DeepSeeks KI-Modelle zugreifen – nicht jedoch die Modelle selbst, die auch lokal auf einem Gerät oder über eine separate Hosting-Plattform betrieben werden können.
„Da sich mobile Apps schnell weiterentwickeln und oft unzureichend geschützt sind, stellen sie ein erhebliches Risiko für Unternehmen und Verbraucher dar“, erklärte NowSecure. „DeepSeek steht aktuell im Rampenlicht, aber das Problem ist keineswegs einzigartig.“
Kritische Sicherheitslücken in der iOS-Version
Bei der Analyse der DeepSeek-App auf realen Smartphones stellten die Experten von NowSecure fest, dass die iPhone-Version eine zentrale Sicherheitsfunktion von Apple deaktiviert hatte.
„Die DeepSeek iOS-App hat die App Transport Security (ATS) global deaktiviert. Diese iOS-Plattform-Schutzmaßnahme verhindert, dass sensible Daten unverschlüsselt übermittelt werden“, erklärten die Analysten. „Da dieser Schutz ausgeschaltet ist, kann und wird die App Daten unverschlüsselt über das Internet senden.“
Durch die fehlende Verschlüsselung sind Nutzer potenziell anfällig für sogenannte Man-in-the-Middle-Angriffe. Das bedeutet, dass eine Person mit Zugriff auf das Netzwerk des Nutzers die Kommunikation zwischen ihm und den Servern von DeepSeek einsehen oder manipulieren könnte.
Zusätzlich entdeckte NowSecure, dass die DeepSeek-App sensible Informationen wie Benutzernamen und Passwörter in einer unverschlüsselten Datei auf dem Gerät zwischenspeichert. Falls ein Angreifer physischen oder Remote-Zugriff auf das Smartphone erhält, könnte er diese Daten leicht auslesen.
Nutzer-Tracking und Datenschutzbedenken
Neben diesen kritischen Sicherheitslücken gibt es weitere Datenschutzprobleme, die in der mobilen App-Branche nicht ungewöhnlich sind. Die Analyse ergab, dass DeepSeek eine Vielzahl von Informationen über das Netzwerk und das verwendete Gerät sammelt. Diese können mit anderen Daten kombiniert und von Data-Brokern oder sogar von böswilligen Akteuren zur Verfolgung und Überwachung von Nutzern verwendet werden.
Regierungen greifen durch: DeepSeek wird auf Behördengeräten verboten
Der NowSecure-Bericht kommt zu einem Zeitpunkt, an dem mehrere Regierungen ihren Mitarbeitern die Nutzung von DeepSeek aufgrund von Sicherheitsrisiken und der chinesischen Herkunft des Unternehmens untersagen.
Am Montag gab die Gouverneurin des US-Bundesstaates New York, Kathy Hochul, bekannt, dass staatliche Mitarbeiter DeepSeeks KI-Modelle nicht mehr auf ihren Geräten verwenden dürfen.
Der US-Kongress diskutiert derzeit ein Gesetz, das ein ähnliches Verbot auf Bundesebene durchsetzen würde. Auch die Regierungen von Südkorea, Australien und Taiwan haben bereits den Zugriff auf DeepSeeks Modelle auf offiziellen Geräten blockiert.
Die wachsende Besorgnis über Cybersicherheit und Datenschutz zeigt, dass Unternehmen und Nutzer zunehmend darauf achten müssen, wie ihre Daten verarbeitet und geschützt werden. DeepSeek mag derzeit besonders im Fokus stehen, doch das Problem unsicherer Apps ist weitaus größer und betrifft viele weitere Anwendungen auf dem Markt.
