Die Deepseek Android -App wurde mit mehreren bedeutenden Sicherheitslücken identifiziert, die den Benutzern erhebliche Risiken darstellen. Hier sind die spezifischen Schwachstellen und ihre Auswirkungen:
1. Unsichere Netzwerkkonfiguration: Der App fehlt die richtigen Netzwerksicherheitsmaßnahmen, wodurch sie sehr anfällig für Angriffe von Man-in-the-Middle (MIDDLE) ist. Wenn Benutzer über öffentliche Wi-Fi oder nicht vertrauenswürdige Netzwerke verbinden, können Angreifer Daten abfangen und manipulieren und möglicherweise Anmeldeinformationen, persönliche Nachrichten und Zahlungsdetails stehlen. Um dies zu mildern, könnte Deepseek HTTPS mit HSTs implementieren und SSL Pinning verwenden, um Serverzertifikate zu validieren [1].
2. Keine SSL -Validierung oder Zertifikatspinne: Deepseek validiert SSL -Zertifikate nicht, was es anfällig für Imitationsangriffe macht. Hacker können vertrauenswürdige Server ausgeben und vertrauliche Informationen abfangen, wie z. B. Anmeldeinformationen und personenbezogene Daten. Das Implementieren von SSL -Zertifikatspinning und strengen SSL -Validierungsprotokollen kann dieses Problem angehen [1].
3.. Schwache Root -Erkennung: Die ineffektive Root -Erkennung der App ermöglicht es den Angreifern mit dem Root -Zugriff auf Bypass -Sicherheitskontrollen und extrahieren sensible Daten. Wurzelte Geräte sind besonders anfällig für Malware und fortschrittliche Cyberangriffe. Die Stärkung der Wurzelerkennungsmechanismen mit fortschrittlichen Sicherheitsprüfungen und die Integration von Bibliotheken von Drittanbietern wie SafetyNet kann die Sicherheit verbessern [1].
4. Anfälligkeit für die Strandhogg -Sicherheitsanfälligkeit: Deepseek ist anfällig für die Strandhogg -Sicherheitsanfälligkeit, die es böswilligen Apps ermöglicht, legitime App -Aufgaben zu entführen und gefälschte Login -Bildschirme anzuzeigen, um Benutzeranmeldeinformationen zu stehlen. Dies kann zu Phishing- und Identitätsdiebstahl führen. Das Aktualisieren der App auf neuere Android -Versionen mit verbesserten Sicherheitspatches und die Implementierung strenger Aufgabenaffinitätseinstellungen kann dieses Risiko mindern [1].
5. Exposition gegenüber der Janus -Sicherheitsanfälligkeit: Die App ist der Janus -Sicherheitsanfälligkeit ausgesetzt, sodass die Angreifer die APK -Datei der App ändern können, ohne die digitale Signatur zu brechen und die Malware -Injektion zu ermöglichen. Das Implementieren von App -Integritätsprüfungen, die Verwendung von Google Play -App -Signierungen und die Verwendung von Android -Anwendungsunterzeichnungen können nicht autorisierte Änderungen verhindern [1].
6. Schwache Verschlüsselungs- und Datenschutzrisiken: Die App verwendet schwache Verschlüsselungsmechanismen, wodurch Benutzerdaten anfällig für Abfangen anfällt. Es verwendet veraltete kryptografische Algorithmen und es fehlt ein ordnungsgemäßes Zertifikat -Pinning, wodurch Angreifer gefälschte Zertifikate ausnutzen und den Verkehr abfangen können. Dadurch werden Benutzer Identitätsdiebstahl, Finanzbetrug und nicht autorisierter Überwachung ausgesetzt. Es ist erforderlich, robuste Verschlüsselungsstandards wie End-to-End-Verschlüsselung (E2EE) oder starke TLS-Protokolle zu implementieren [3].
7. SQL -Injektionsrisiken und hartcodierte Schlüssel: Die App steht auch auf SQL -Injektionsrisiken und verwendet hartcodierte Verschlüsselungsschlüssel, wodurch die Sicherheitsposition weiter geschwächt wird. Diese Praktiken erhöhen das Risiko von Datenverletzungen und nicht autorisierten Zugriffs [6].
8. Datenerfassung und Datenschutzbedenken: Die App von Deepseek sammelt mehr Berechtigungen als notwendig, sammelt Metadaten und potenziell verfolgt das Benutzerverhalten über das, was in seiner Datenschutzrichtlinie offenbart wird. Diese Überreichung könnte zu nicht autorisierten Datenernten und Konflikten mit Datenschutzbestimmungen wie DSGVO und CCPA führen [3].
Diese Schwachstellen unterstreichen die Notwendigkeit von Deepseek, seine Sicherheits- und Datenschutzprobleme zu lösen, um Benutzerdaten effektiv zu schützen.
Zitate:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-teepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-indeepseek-andother-frontier-rasoning-models
[3] https://moxso.com/blog/deepseks-android-app--flaws-privacy-riss
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-leep-peek-at-teepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposeddeepseek-database-Leak
[8] https://thehackernews.com/2025/02/deepseek-app-app-transmits-sensithsisital-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-ecurity-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security---privacy-flaws-in-peepseek-ios-mobile-app/
[11] https://krebsersecurity.com/2025/02/experts-flag-security-privacy-risks-in-peepseek-ai-app/