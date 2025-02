Die chinesische KI DeepSeek (App-Store-Link) ließ noch vor kurzem die Aktien von NVIDIA und Co fallen und wurde über Nacht zur meist geladenen iOS-App. Nun haben Forscher diverse Sicherheitslücken in der App aufgetan. Vor kurzem wurde bereist bekannt, dass DeepSeek Chatverläufe und andere sensible Informationen in einer Datenbank sicherte, die ohne Authentifizierung aufgerufen werden konnte. Nun sind weitere gravierende Mängel ans Licht gekommen.

Nach der Einführung von DeepSeek haben sich bereits mehrere Datenschutzbeauftragte und Behörden aus Europa und den USA zu Wort gemeldet. Sie stellten die Konformität von DeepSeek mit geltendem europäischem Recht infrage und äußerten Bedenken hinsichtlich der Auswirkungen auf die nationale Sicherheit.

Kurz darauf wurde bekannt, dass die Entwickler eine Datenbank, in der verschiedene Chatverläufe und geheime Schlüssel gespeichert waren, nicht ausreichend gesichert hatten.

Nun hat das Unternehmen NowSecure DeepSeek erneut unter die Lupe genommen und weitere Sicherheitsmängel sowohl in der iPhone-App als auch in der Android-Version entdeckt.

Apples ATS wird gezielt deaktiviert

So fanden die Forscher heraus, dass die DeepSeek-App, global das von Apple entwickelte und standardmäßig aktivierte App-Transport-Security-System (ATS) deaktiviert. NowSecure schreibt:

„Die DeepSeek-iOS-App deaktiviert global die App Transport Security (ATS), einen Schutz auf iOS-Plattformebene, der verhindert, dass sensible Daten über unverschlüsselte Kanäle gesendet werden. Da dieser Schutz deaktiviert ist, kann die App unverschlüsselte Daten über das Internet senden (und tut dies auch).“

Die gesammelten Daten könnten genutzt werden, um die Anonymität der Nutzer aufzuheben, da sie über die Zeit leicht aggregiert werden können und so Rückschlüsse auf einzelne Personen ermöglichen. Zusätzlich setzt DeepSeek an Stellen, an denen Verschlüsselung zum Einsatz kommt, veraltete Methoden ein – genauer gesagt die fehleranfällige Triple-DES-Verschlüsselung. NowSecure hat zudem hart kodierte Verschlüsselungsschlüssel in der App entdeckt.

Darüber hinaus werden die über DeepSeek gesammelten Daten nach China gesendet und unterliegen dort den nationalen Gesetzen. Die Nutzerdaten werden an Server übertragen, die von ByteDance, dem Unternehmen hinter TikTok, kontrolliert werden – was Bedenken hinsichtlich eines möglichen staatlichen Zugriffs aufwirft.

Unternehmen und Behörden sollten DeepSeek deinstallieren

NowSecure kommt zu dem Schluss, dass die Nutzung von DeepSeek nicht sicher ist, und rät dringend davon ab, die App im unternehmerischen oder behördlichen Umfeld zu verwenden. Doch auch private Nutzer und Nutzerinnen sollten sich nun gut überlegen, ob sie DeepSeek weiterhin nutzen möchten.