Aplikace Deepseek Android byla identifikována s několika významnými zabezpečeními zabezpečení, která představují značná rizika pro uživatele. Zde jsou konkrétní zranitelnosti a jejich důsledky:
1. Nezajištěná konfigurace sítě: Aplikaci postrádá správné opatření zabezpečení sítě, takže je vysoce citlivá na útoky člověka-in-the-Middle (MITM). Když se uživatelé připojí přes veřejné sítě Wi-Fi nebo nedůvěryhodné, útočníci mohou zachytit a manipulovat s daty, potenciálně ukrást přihlašovací údaje, osobní zprávy a platební údaje. Abychom to zmírnili, DeepSeek mohl implementovat HTTPS s HSTS a použít SSL Pinning k ověření serverových certifikátů [1].
2. Žádná ověření nebo certifikát SSL: DeepSeek nedokáže ověřit certifikáty SSL, což je náchylné k vyvlastněním útokům. Hackeři mohou vydávat za důvěryhodné servery a zachytit citlivé informace, jako jsou přihlašovací údaje a osobní údaje. Implementace protokolů SSL Certificate Pinning a Strict SSL ověření může tento problém řešit [1].
3. Slabá detekce kořenů: Neúčinná detekce kořenů aplikace umožňuje útočníkům s přístupem kořenů k ovládacím prvkům zabezpečení obchvatu a extrahujte citlivá data. Zakořeněná zařízení jsou zvláště zranitelná vůči malwaru a pokročilým kybernetickým útokům. Posílení mechanismů detekce kořenů s pokročilými kontrolami zabezpečení a integrací knihoven třetích stran, jako je SafeTynet, může zlepšit zabezpečení [1].
4. Citlivost na zranitelnost Strandhogg: DeepSeek je zranitelný vůči zranitelnosti Strandhogg, která umožňuje škodlivým aplikacím unést legitimní úkoly aplikací a zobrazovat falešné přihlašovací obrazovky, aby ukradli přihlašovací údaje. To může vést k phishingu a krádeži identity. Aktualizace aplikace tak, aby cílila na novější verze Android pomocí vylepšených bezpečnostních záplat a implementace přísného nastavení afinitního úkolu může toto riziko zmírnit [1].
5. Expozice zranitelnosti Janus: Aplikace je vystavena zranitelnosti Janus, což útočníkům umožňuje upravit soubor APK aplikace, aniž by porušil její digitální podpis, což umožňuje injekci malwaru. Implementace kontrol integrity aplikace, pomocí podpisu aplikace Google Play a použití podpisu aplikace pro Android může zabránit neoprávněným úpravám [1].
6. Slabá šifrování a rizika ochrany osobních údajů: Aplikace používá slabé mechanismy šifrování, díky čemuž jsou uživatelská data náchylná k zachycení. Využívá zastaralé kryptografické algoritmy a postrádá řádné připnutí certifikátu, což by mohlo útočníkům umožnit využívat falešné certifikáty a zachytit provoz. To vystavuje uživatele krádeži identity, finanční podvody a neoprávněné dohled. Je nutné implementovat robustní standardy šifrování, jako jsou šifrování end-to-end (E2EE) nebo silné protokoly TLS [3].
7. Rizika injekce SQL a pevně zakódované klíče: Aplikace také čelí rizikům SQL injekčními riziky a používá pevně kódované šifrovací klíče, což dále oslabuje jeho bezpečnostní držení. Tyto postupy zvyšují riziko porušení údajů a neoprávněného přístupu [6].
8. Sběr dat a obavy o ochranu osobních údajů: Aplikace DeepSeek shromažďuje více oprávnění, než je nutné, shromažďuje metadata a potenciálně sleduje chování uživatelů nad rámec toho, co je zveřejněno v jeho zásadách ochrany osobních údajů. Tento přesah by mohl vést k neautorizovanému sběru dat a konfliktům s předpisy o ochraně osobních údajů, jako jsou GDPR a CCPA [3].
Tyto zranitelnosti zdůrazňují, že je třeba, aby Deepseek řešil problémy s bezpečností a ochranou osobních údajů k efektivnímu ochraně uživatelských dat.
Citace:
[1] https://www.apponnox.com/blog/is-your-ap-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-Frontier-Reasoning-Models
[3] https://moxso.com/blog/deepseeks-ndroid-app-flaws-privacy-risks
[4] https://appoov.io/blog/deepseek-apps-security-failures-approov--Could-preventent-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-Leak
[8] https://thehackernews.com/2025/02/deepseek-app-cransmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaks
[10] https://www.nowscure.com/blog/2025/02/06/nowsEcure-Uncovers--security-and-privacy-flaws-in-deepseek-mobile-app/
[11] https://krebsossecurity.com/2025/02/experts-flag-sirity-risks-in-deepseek-ap-app/