Deepseek Android -appen er blevet identificeret med flere betydelige sikkerhedssårbarheder, der udgør betydelige risici for brugerne. Her er de specifikke sårbarheder og deres konsekvenser:
1. Usikret netværkskonfiguration: Appen mangler passende netværkssikkerhedsforanstaltninger, hvilket gør den meget modtagelig for angreb mellem mennesker og midten (MITM). Når brugere opretter forbindelse over offentlige Wi-Fi- eller ikke-betroede netværk, kan angribere aflytte og manipulere data og potentielt stjæle login-legitimationsoplysninger, personlige meddelelser og betalingsoplysninger. For at afbøde dette kunne Deepseek implementere HTTP'er med HSTS og bruge SSL -fastgørelse til at validere servercertifikater [1].
2. Ingen SSL -validering eller certifikat Pinning: Deepseek undlader at validere SSL -certifikater, hvilket gør det sårbart over for efterligningangreb. Hackere kan efterligne sig pålidelige servere og aflytte følsomme oplysninger, såsom login -legitimationsoplysninger og personoplysninger. Implementering af SSL -certifikatstik og strenge SSL -valideringsprotokoller kan løse dette problem [1].
3. Svag roddetektion: Appens ineffektive roddetektion tillader angribere med rodadgang til at omgå sikkerhedskontroller og udtrække følsomme data. Rootede enheder er især sårbare over for malware og avancerede cyberattacks. Styrkelse af roddetekteringsmekanismer med avancerede sikkerhedskontrol og integration af tredjepartsbiblioteker som Safetynet kan forbedre sikkerheden [1].
4. Modtagelighed over for Strandhogg -sårbarheden: Deepseek er sårbar over for Strandhogg -sårbarheden, som gør det muligt for ondsindede apps at kapre legitime appopgaver og vise falske login -skærme for at stjæle brugeroplysninger. Dette kan føre til phishing og identitetstyveri. Opdatering af appen til at målrette nyere Android -versioner med forbedrede sikkerhedsrettelser og implementering af strenge opgavesaffinitetsindstillinger kan afbøde denne risiko [1].
5. Eksponering for Janus -sårbarheden: Appen udsættes for Janus -sårbarheden, hvilket giver angribere mulighed for at ændre appens APK -fil uden at bryde sin digitale signatur, hvilket muliggør malware -injektion. Implementering af appintegritetskontroller, ved hjælp af Google Play -app -signering og anvendelse af Android -applikationssignering kan forhindre uautoriserede ændringer [1].
6. Svag kryptering og privatlivsrisici: Appen bruger svage krypteringsmekanismer, hvilket gør brugerdata modtagelige for aflytning. Det anvender forældede kryptografiske algoritmer og mangler korrekt certifikatbestandighed, hvilket kan give angribere mulighed for at udnytte falske certifikater og aflytningstrafik. Dette udsætter brugerne for identitetstyveri, økonomisk svig og uautoriseret overvågning. Implementering af robuste krypteringsstandarder som ende-til-ende-kryptering (E2EE) eller stærke TLS-protokoller er nødvendig [3].
7. SQL -injektionsrisici og hardkodede nøgler: Appen står også over for SQL -injektionsrisici og bruger hardkodede krypteringstaster, hvilket yderligere svækker sin sikkerhedsstilling. Denne praksis øger risikoen for overtrædelser af data og uautoriseret adgang [6].
8. Dataindsamling og bekymringer for privatlivets fred: Deepseeks app indsamler flere tilladelser end nødvendigt, indsamler metadata og potentielt sporer brugeradfærd ud over, hvad der er videregivet i dens privatlivspolitik. Denne overreaktion kan føre til uautoriseret datahøstning og konflikter med fortrolighedsbestemmelser som GDPR og CCPA [3].
Disse sårbarheder fremhæver behovet for, at DeepSeek skal tackle dets sikkerheds- og privatlivets fred for at beskytte brugerdata effektivt.
Citater:
[1] https://www.appknox.com/blog/is-your-i-app-safe-analyzing-deepseek
)
[3] https://moxso.com/blog/deepseeks-android-app-flaw-privacy-risici
)
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
)
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-system-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure- uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
)