DeepSeekのAndroidアプリはどのようなデータを収集して中国へ送信しているのか？

セキュリティ企業のSecurityScorecardがDeepSeekのAndroidアプリを調査し、アプリに存在する潜在的な脆弱(ぜいじゃく)性について分析した結果を公表しました。

A Deep Peek at DeepSeek - SecurityScorecard
https://securityscorecard.com/blog/a-deep-peek-at-deepseek/

調査時点で、DeepSeekのプライバシーポリシーには「テキストまたは音声入力、プロンプト、アップロードされたファイル、フィードバック、チャット履歴、またはお客様が当社のモデルおよびサービスに提供するその他のコンテンツを収集します。これには、潜在的に機微な情報を含む広範な個人データが含まれます」との記載がありました。

技術的には、「DeepSeekは、デバイスのモデル、OS、IPアドレス、および特に『キーストロークのパターンまたはリズム』などの詳細な技術データを収集します」と記載されています。

データの保存場所については、プライバシーポリシーによると「中華人民共和国にある安全なサーバー」に保存されますが、中国データセキュリティ法を考慮すると、政府がユーザーのデータへアクセスする懸念があるとSecurityScorecardは指摘し、「このポリシーでは、収集されたデータのさまざまな用途について概説しているが、第三者によるデータ共有については具体性に欠ける。誰がどのような条件でデータにアクセスできるのかについての明確な情報がないことは問題である」と述べ、自社でより詳細な情報について分析しました。

分析の結果では、ユーザー行動とデバイスのメタデータがByteDanceサーバーに送信される可能性が高く、ByteDanceがアプリの動作を動的に変更する余地を生んでいます。このように、ByteDanceが管理するエンドポイントへデータ送信が行われることにより、EUの一般データ保護規則やアメリカの国家安全保障法に関する問題が発生する可能性があることがわかっています。

コードを分析したところ、DeepSeekのAndroidアプリが悪意のあるリクエストを実行した形跡は見当たらず、権限の範囲で適切な動作をしていたとのことです。ただし、一部で通常の使用を超えたデータ収集の可能性があることがわかりました。

また、DeepSeekのAndroidアプリケーションには、AESキー、APIキー、その他のセンシティブなデータを動的に、あるいは静的に暴露する脆弱性が存在し、またアプリが接続するKtorのようなサードパーティドメインはセキュリティスコアが不合格で、データセキュリティに関するビジネスリスクを高めているそうです。

アプリ自体に不備はなくともデータを保存するサーバーやデータの提供先のサードパーティ企業にリスクがある可能性があるとSecurityScorecardは指摘していますが、これは何もDeepSeekに限った話ではありません。

SecurityScorecardは、DeepSeekのAndroidアプリにある最も重要な懸念点として「セキュリティ分析を妨害するように設計されたアンチデバッグ・メカニズムを採用している点」だと指摘し、「これは透明性を主張する企業にとって異常な動きです」と言及しました。

なお、DeepSeekのiOSアプリについてはNowSecureという別企業が調査を実施しています。

DeepSeekのiOSアプリが暗号化されていないデータをByteDanceが管理するサーバーに送信していることが明らかに - GIGAZINE