App DeepSeek per Android: quanti dati trasferiti in Cina!

Un nuovo player affacciatosi di recente sulla scena internazionale ha catturato l’attenzione di tutti. Si tratta di DeepSeek, azienda cinese che ha dimostrato come nel campo dell’intelligenza artificiale sia possibile fare di più con meno. Abbiamo spiegato perché l’arrivo dell’intelligenza artificiale cinese è una buona cosa ma, allo stesso tempo, abbiamo sottolineato quanto sia sconsigliato procedere con un’installazione di massa dell’app Android DeepSeek.

Perché? Perché sebbene il legislatore e le Autorità si concentrino soprattutto sulla raccolta dei dati operata sul Web, sono le app installate sui dispositivi mobili che permettono, davvero, di rastrellare un ventaglio di informazioni personali sugli utenti davvero inimmaginabile! Guardate, ad esempio, quante app possono risalire alla vostra posizione geografica e comporre un preciso identikit sulle vostre abitudini.

Se da un lato il Garante Privacy ha disposto la limitazione del trattamento dei dati degli utenti italiani da parte di DeepSeek, l’azienda cinese ha deciso di ritirare le applicazioni Android e iOS nel nostro Paese, almeno per il momento.

Analisi della Sicurezza dell’app DeepSeek: vulnerabilità e rischi per la privacy

Abbiamo spiegato quanto sia in generale sconsigliato installare app Android che possano potenzialmente raccogliere dati degli utenti. SecurityScorecard ha pubblicato un esame approfondito del comportamento dell’app Android di DeepSeek, mettendo in luce i rischi associati e le implicazioni per la privacy.

L’analisi ha evidenziato vulnerabilità significative, tra cui chiavi crittografiche hardcoded (cioè inserite nel sorgente dell’applicazione), l’utilizzo di algoritmi crittografici deboli e la possibilità di attacchi di tipo SQL injection. In un altro articolo abbiamo visto quante vulnerabilità di sicurezza esistono e perché rappresentano una seria minaccia.

I dati non vengono solo raccolti, ma anche trasmessi a domini legati a entità statali cinesi, sollevando preoccupazioni sulla sovranità dei dati e sulla sicurezza nazionale.

È inoltre emerso che l’applicazione impiega meccanismi di anti-debugging per ostacolare l’analisi della sicurezza, un comportamento che SecurityScorecard definisce anomalo per un’azienda che afferma di essere trasparente. In particolare, l’app controlla l’eventuale presenza di un debugger: in questi frangenti, l’app si chiude forzosamente.

Vulnerabilità di sicurezza

La ricerca pubblicata da SecurityScorecard ha rivelato diverse vulnerabilità nell’applicazione DeepSeek. Di seguito le principali problematiche venute a galla:

• Crittografia debole: L’app utilizza algoritmi di crittografia deboli come il DES, facilmente compromettibili. Questo rappresenta un rischio elevato per la protezione dei dati sensibili degli utenti.
• SQL injection: La presenza di vulnerabilità di SQL injection consente agli attaccanti di manipolare le query SQL, accedendo o cancellando record nel database.
• Chiavi hardcoded: La presenza di chiavi crittografiche hardcoded aumenta il rischio di esposizione dei dati e di accesso non autorizzato.
• Permessi inadeguati: Le analisi hanno rivelato che l’app richiede permessi per l’accesso a dati sensibili, come posizione e stato del telefono, che possono essere utilizzati per una raccolta dati oltre le normali aspettative.

Rischi di privacy e sorveglianza

DeepSeek raccoglie un ampio spettro di dati degli utenti, inclusi input di testo e audio, dati del dispositivo e modelli di vario genere. Tutti questi dati sono raccolti e memorizzati su server situati in Cina, rendendoli suscettibili alle leggi di Pechino oltre che a un potenziale accesso governativo. La mancanza di trasparenza nella politica di condivisione dei dati solleva ulteriori preoccupazioni sulla privacy.

Nonostante l’app DeepSeek non mostri evidenti comportamenti malevoli, le sue pratiche di raccolta dei dati e gestione delle vulnerabilità pongono seri rischi per la privacy e la sicurezza.

Ancora una volta, ribadiamo che si dovrebbero evitare le app Android sviluppate da produttori che non sono sufficientemente trasparenti in materia di privacy e trattamento dei dati personali. Da scongiurare anche l’installazione delle app che chiedono di usare permessi Android pericolosi o troppo ampi rispetto alle funzionalità effettivamente offerte.

Discorso diverso per il sottostante modello generativo alla base di DeepSeek, che può essere adoperato in locale senza trasferire alcun dato su server remoti. Di recente AMD ha spiegato come usare il modello di reasoning DeepSeek-R1 su chip Ryzen AI e Radeon.