Il mondo delle app sta attraversando un periodo di intensa innovazione e scoperta, e tra le novità sul mercato, DeepSeek si è imposto come uno degli strumenti più discussi, grazie all’introduzione del modello di ragionamento R1. Tuttavia, le recenti notizie rivelano problematiche serissime legate alla sicurezza e alla privacy degli utenti, che potrebbero far riflettere su un eventuale utilizzo di questo strumento, in particolare in paesi come Australia, Italia e Taiwan dove il suo uso è stato vietato in ambito governativo.
Preoccupazioni crescenti attorno alla sicurezza di DeepSeek
Pochi giorni fa, un team di ricerca di Security Scorecard ha scoperto vulnerabilità significative non solo nell'app iOS, ma anche nella versione Android. Nonostante non siano emerse prove di comportamenti apertamente malevoli, il report ha messo in evidenza una serie di pratiche di sicurezza carenti. Tra le irregolarità riscontrate ci sono la trasmissione dei dati degli utenti verso server in Cina, chiavi hardcoded e crittografia debole, nonché la vulnerabilità a attacchi di SQL injection.
In aggiunta, sembra che DeepSeek conservi informazioni sensibili come chiavi API, token di autenticazione e password in chiaro all'interno dei suoi file, aumentando il rischio di accesso non autorizzato. Questi elementi combinati sollevano quesiti allarmanti sulla protezione dei dati degli utenti e sull’integrità dell’applicazione nel suo complesso.
Politiche di privacy e pratiche di raccolta dati
La politica sulla privacy dell'app delinea una serie di comportamenti a dir poco rischiosi. DeepSeek si riserva il diritto di raccogliere input testuali e audio, file caricati, feedback, e storicità delle chat. Ma non finisce qui: il programma raccoglie anche informazioni tecniche come indirizzi IP, sistema operativo e modello di dispositivo. L’aspetto più inquietante è la raccolta di “pattern o ritmi di battitura”, considerata una violazione intrusiva della privacy, in quanto può essere utilizzata per inferire l'identità e il comportamento dell'utente.
Secondo il report di Security Scorecard, i problemi sono stati identificati seguendo la lista CWE , che indica vulnerabilità ad alto rischio come chiavi hardcoded, rischi legati a SQL injection e problemi di permessi di file impropri. L’analisi del codice Smali di DeepSeek ha rivelato tecniche anti-debugging: se viene rilevato un tentativo di debugging, l'app potrebbe chiudersi in modo forzato per impedire ulteriori analisi.
Rischi di conformità e possibili ripercussioni legali
Un altro aspetto preoccupante è la possibilità che i dati comportamentali degli utenti e le informazioni sui dispositivi possano essere inviati ai server di ByteDance, la società madre dell’app. Questi trasferimenti di dati potrebbero comportare problematiche legate alla conformità con normative come il GDPR e il CCPA, oltre a considerazioni di sicurezza nazionale.
Con tutte queste vulnerabilità emerse, è facile capire perché gli esperti consigliano cautela nel considerare l'uso di DeepSeek come nuovo strumento di intelligenza artificiale. Gli sviluppatori dovranno lavorare rapidamente per risolvere questi problemi di sicurezza, prima che hacker o entità governative possano sfruttarli a proprio favore.
La riflessione è d’obbligo: vale la pena rischiare la propria privacy per una nuova applicazione che, seppur promettente, solleva così tante preoccupazioni sulla sicurezza?