Deepseek Android App App Security Audivilities and Risks

تم تحديد تطبيق Deepseek Android مع العديد من نقاط الضعف الأمنية المهمة التي تشكل مخاطر كبيرة للمستخدمين. فيما يلي نقاط الضعف المحددة وآثارها:

1. تكوين الشبكة غير المضمون: يفتقر التطبيق إلى تدابير أمان الشبكة المناسبة ، مما يجعله عرضة للغاية لهجمات Man-in-Middle (MITM). عندما يتصل المستخدمون عبر شبكة Wi-Fi العامة أو الشبكات غير الموثوق بها ، يمكن للمهاجمين اعتراض البيانات ومعالجتها ، وربما سرقة بيانات اعتماد تسجيل الدخول والرسائل الشخصية وتفاصيل الدفع. للتخفيف من ذلك ، يمكن لـ Deepseek تطبيق HTTPS مع HSTS واستخدام تثبيت SSL للتحقق من صحة شهادات الخادم [1].

2. لا يوجد التحقق من صحة SSL أو شهادة: فشل Deepseek في التحقق من صحة شهادات SSL ، مما يجعلها عرضة لهجمات الانتحار. يمكن للمتسللين انتحال شخصية الخوادم الموثوقة واعتراض المعلومات الحساسة ، مثل بيانات اعتماد تسجيل الدخول والبيانات الشخصية. يمكن لتطبيق شهادة SSL وبروتوكولات التحقق من صحة SSL الصارمة معالجة هذه المشكلة [1].

3. اكتشاف الجذر الضعيف: يتيح اكتشاف الجذر غير الفعال للتطبيق المهاجمين الذين يتمتعون بالوصول إلى الجذر إلى عناصر التحكم في الأمان الالتفافية واستخراج البيانات الحساسة. الأجهزة الجذرية معرضة بشكل خاص للبرامج الضارة والهجمات الإلكترونية المتقدمة. يمكن أن يؤدي تعزيز آليات الكشف عن الجذر إلى عمليات الفحص الأمنية المتقدمة ودمج مكتبات الطرف الثالث مثل Safetynet إلى تحسين الأمان [1].

4. قابلية التعرض لضعف القطعان: Deepseek معرضة لضعف تقلبات Strandhogg ، والتي تمكن التطبيقات الضارة من اختطاف مهام التطبيق المشروعة ، وعرض شاشات تسجيل الدخول المزيفة لسرقة بيانات اعتماد المستخدم. هذا يمكن أن يؤدي إلى التصيد وسرقة الهوية. تحديث التطبيق لاستهداف إصدارات Android الأحدث مع تصحيحات الأمان المحسنة وتنفيذ إعدادات تقارب المهمة الصارمة يمكن أن تخفف من هذا المخاطر [1].

5. التعرض لضعف Janus: يتعرض التطبيق لضعف Janus ، مما يسمح للمهاجمين بتعديل ملف APK للتطبيق دون كسر توقيعه الرقمي ، مما يتيح حقن البرامج الضارة. يمكن لتطبيق فحص تكامل التطبيق ، باستخدام توقيع تطبيقات Google Play ، وتوقيع تطبيق Android أن يمنع التعديلات غير المصرح بها [1].

6. مخاطر التشفير والخصوصية الضعيفة: يستخدم التطبيق آليات تشفير ضعيفة ، مما يجعل بيانات المستخدم عرضة للاعتراض. توظف خوارزميات تشفير قديمة وتفتقر إلى تثبيت الشهادة المناسبة ، والتي قد تسمح للمهاجمين باستغلال الشهادات المزيفة واعتراض حركة المرور. هذا يعرض المستخدمين لسرقة الهوية والاحتيال المالي والمراقبة غير المصرح بها. من الضروري تنفيذ معايير تشفير قوية مثل التشفير من طرف إلى طرف (E2EE) أو بروتوكولات TLS القوية [3].

7. مخاطر حقن SQL والمفاتيح المتشددين: يواجه التطبيق أيضًا مخاطر حقن SQL ويستخدم مفاتيح التشفير المتشددين ، مما يضعف وضعه الأمني. تزيد هذه الممارسات من خطر انتهاك البيانات والوصول غير المصرح به [6].

8. مخاوف جمع البيانات وخصوصية: يقوم تطبيق Deepseek بجمع المزيد من الأذونات أكثر من الضرورة ، وجمع البيانات الوصفية وربما تتبع سلوك المستخدم بما يتجاوز ما يتم الكشف عنه في سياسة الخصوصية الخاصة به. يمكن أن يؤدي هذا التجاوز إلى حصاد البيانات غير المصرح به والتعارض مع لوائح الخصوصية مثل الناتج المحلي الإجمالي و CCPA [3].

تسلط هذه الثغرات الأمنية الضوء على الحاجة إلى Deepseek لمعالجة مشكلات الأمان والخصوصية لحماية بيانات المستخدم بشكل فعال.

الاستشهادات:
[1] https://www.appknox.com/blog/is-your-aipp-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-reks-in-deepseek-and-phrontier-reasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-the-damage
[5]
[6]
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sevely-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-privacy
[10]
[11]

ما هي نقاط الضعف المحددة التي تم تحديدها في تطبيق Deepseek Android