Η εφαρμογή Deepseek Android έχει αναγνωριστεί με διάφορα σημαντικά τρωτά σημεία ασφαλείας που δημιουργούν σημαντικούς κινδύνους για τους χρήστες. Εδώ είναι τα συγκεκριμένα τρωτά σημεία και οι επιπτώσεις τους:
1. Μη εξασθενημένη διαμόρφωση δικτύου: Η εφαρμογή δεν διαθέτει τα κατάλληλα μέτρα ασφαλείας δικτύου, καθιστώντας την ιδιαίτερα ευαίσθητη στις επιθέσεις Man-in-the-Middle (MITM). Όταν οι χρήστες συνδέονται με δημόσια δίκτυα Wi-Fi ή μη αξιόπιστα, οι επιτιθέμενοι μπορούν να παρεμποδίσουν και να χειριστούν δεδομένα, ενδεχομένως να κλέψουν τα διαπιστευτήρια σύνδεσης, τα προσωπικά μηνύματα και τα στοιχεία πληρωμής. Για να μετριάσει αυτό, το Deepseek θα μπορούσε να εφαρμόσει HTTPS με HSTS και να χρησιμοποιήσει το SSL Pinning για να επικυρώσει τα πιστοποιητικά διακομιστών [1].
2. NO SSL Επικύρωση ή Πιστοποιητικό Πίεση: Το DeepSeeek δεν επικυρώνει τα πιστοποιητικά SSL, καθιστώντας το ευάλωτο σε επιθέσεις πλαστοπροσωπίας. Οι χάκερ μπορούν να μιμηθούν αξιόπιστους διακομιστές και να παρεμποδίσουν ευαίσθητες πληροφορίες, όπως τα διαπιστευτήρια σύνδεσης και τα προσωπικά δεδομένα. Η εφαρμογή του πιστοποιητικού SSL και τα αυστηρά πρωτόκολλα επικύρωσης SSL μπορούν να αντιμετωπίσουν αυτό το ζήτημα [1].
3. Αδύναμη ανίχνευση ριζών: Η αναποτελεσματική ανίχνευση ρίζας της εφαρμογής επιτρέπει στους εισβολείς με πρόσβαση ριζών σε ελέγχους ασφαλείας παράκαμψης και εξαγωγή ευαίσθητων δεδομένων. Οι ριζωμένες συσκευές είναι ιδιαίτερα ευάλωτες σε κακόβουλο λογισμικό και προχωρημένες κυβερνοεπιχειρήσεις. Ενίσχυση μηχανισμών ανίχνευσης ριζών με προηγμένους ελέγχους ασφαλείας και ενσωμάτωση βιβλιοθηκών τρίτων όπως το SafetyNet μπορεί να βελτιώσει την ασφάλεια [1].
4. Ευαισθησία στην ευπάθεια strandhogg: Το DeepSeek είναι ευάλωτο στην ευπάθεια strandhogg, η οποία επιτρέπει στις κακόβουλες εφαρμογές να καταβάλουν νόμιμες εργασίες εφαρμογής, εμφανίζοντας ψεύτικες οθόνες σύνδεσης για να κλέψουν τα διαπιστευτήρια των χρηστών. Αυτό μπορεί να οδηγήσει σε κλοπή ηλεκτρονικού ψαρέματος και ταυτότητας. Η ενημέρωση της εφαρμογής για την στόχευση νεότερων εκδόσεων Android με βελτιωμένα μπαλώματα ασφαλείας και την εφαρμογή αυστηρών ρυθμίσεων συγγένειας εργασίας μπορεί να μετριάσει αυτόν τον κίνδυνο [1].
5. Έκθεση στην ευπάθεια Janus: Η εφαρμογή εκτίθεται στην ευπάθεια Janus, επιτρέποντας στους εισβολείς να τροποποιήσουν το αρχείο APK της εφαρμογής χωρίς να σπάσουν την ψηφιακή υπογραφή του, επιτρέποντας την έγχυση κακόβουλου λογισμικού. Εφαρμογή ελέγχων ακεραιότητας εφαρμογών, χρησιμοποιώντας την υπογραφή της εφαρμογής Google Play και η χρήση υπογραφής εφαρμογών Android μπορεί να αποτρέψει μη εξουσιοδοτημένες τροποποιήσεις [1].
6. Αδύναμη κρυπτογράφηση και κίνδυνοι απορρήτου: Η εφαρμογή χρησιμοποιεί αδύναμους μηχανισμούς κρυπτογράφησης, καθιστώντας τα δεδομένα χρήστη ευαίσθητα στην υποκλοπή. Χρησιμοποιεί παρωχημένους κρυπτογραφικούς αλγόριθμους και στερείται κατάλληλου πιστοποιητικού, το οποίο θα μπορούσε να επιτρέψει στους επιτιθέμενους να εκμεταλλευτούν ψεύτικα πιστοποιητικά και να παρεμποδίζουν την κυκλοφορία. Αυτό εκθέτει τους χρήστες σε κλοπή ταυτότητας, οικονομική απάτη και μη εξουσιοδοτημένη επιτήρηση. Η εφαρμογή ισχυρών προτύπων κρυπτογράφησης όπως η κρυπτογράφηση από άκρο σε άκρο (E2EE) ή τα ισχυρά πρωτόκολλα TLS είναι απαραίτητα [3].
7. Οι κίνδυνοι έγχυσης SQL και τα πλήκτρα με σκληρό κώδικα: Η εφαρμογή αντιμετωπίζει επίσης κινδύνους έγχυσης SQL και χρησιμοποιεί κλειδιά κρυπτογράφησης με σκληρό κώδικα, αποδυναμώνοντας περαιτέρω τη στάση ασφαλείας της. Αυτές οι πρακτικές αυξάνουν τον κίνδυνο παραβιάσεων δεδομένων και μη εξουσιοδοτημένη πρόσβαση [6].
8. Συλλογή δεδομένων και ανησυχίες για την προστασία της ιδιωτικής ζωής: Η εφαρμογή του Deepseek συλλέγει περισσότερα δικαιώματα από ό, τι είναι απαραίτητο, συλλέγοντας μεταδεδομένα και ενδεχομένως παρακολούθηση της συμπεριφοράς των χρηστών πέρα από αυτό που αποκαλύπτεται στην Πολιτική Προστασίας Προσωπικών Δεδομένων. Αυτή η υπέρβαση θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη συγκομιδή δεδομένων και συγκρούσεις με κανονισμούς απορρήτου όπως το GDPR και το CCPA [3].
Αυτά τα τρωτά σημεία υπογραμμίζουν την ανάγκη για το Deepseek να αντιμετωπίσει τα ζητήματα ασφάλειας και ιδιωτικής ζωής για την αποτελεσματική προστασία των δεδομένων των χρηστών.
Αναφορές:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-nisks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[11] https://krebssonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/