L'app Android DeepSeek è stata identificata con diverse vulnerabilità di sicurezza significative che rappresentano notevoli rischi per gli utenti. Ecco le vulnerabilità specifiche e le loro implicazioni:
1. Configurazione della rete non garantita: l'app manca di misure di sicurezza della rete adeguate, rendendolo altamente suscettibile agli attacchi man-in-the-middle (MITM). Quando gli utenti si connettono su Wi-Fi pubblico o reti non attendibili, gli aggressori possono intercettare e manipolare i dati, rubando potenzialmente le credenziali di accesso, i messaggi personali e i dettagli di pagamento. Per mitigare questo, DeepSeek potrebbe implementare HTTPS con HSTS e utilizzare il pinning SSL per convalidare i certificati del server [1].
2. Nessuna convalida SSL o pinning di certificato: DeepSeek non convalida i certificati SSL, rendendo vulnerabile agli attacchi di imitazione. Gli hacker possono impersonare i server di fiducia e intercettare informazioni sensibili, come le credenziali di accesso e i dati personali. L'implementazione di certificati SSL e protocolli di convalida SSL rigorosi possono affrontare questo problema [1].
3. Rilevazione del radice debole: il rilevamento inefficace della radice dell'app consente agli aggressori l'accesso alla radice ai controlli di sicurezza bypass ed estrarre dati sensibili. I dispositivi radicati sono particolarmente vulnerabili al malware e agli attacchi informatici avanzati. Rafforzare i meccanismi di rilevamento delle radici con controlli di sicurezza avanzati e l'integrazione di librerie di terze parti come SafetyNet può migliorare la sicurezza [1].
4. Suscettibilità alla vulnerabilità di Strandhogg: DeepSeek è vulnerabile alla vulnerabilità di Strandhogg, che consente alle app dannose di dirottare le attività di app legittime, che mostrano falsi schermi di accesso per rubare le credenziali dell'utente. Ciò può portare a phishing e furto di identità. L'aggiornamento dell'app per colpire le versioni Android più recenti con patch di sicurezza migliorate e implementare severi impostazioni di affinità delle attività possono mitigare questo rischio [1].
5. Esposizione alla vulnerabilità di Janus: l'app è esposta alla vulnerabilità di Janus, consentendo agli aggressori di modificare il file APK dell'app senza interrompere la sua firma digitale, consentendo l'iniezione di malware. L'implementazione di controlli di integrità delle app, utilizzando la firma delle app di Google Play e l'impiego di firma delle applicazioni Android può impedire modifiche non autorizzate [1].
6. Rischi di crittografia e privacy deboli: l'app utilizza meccanismi di crittografia deboli, rendendo i dati dell'utente suscettibili di intercettazione. Impiega algoritmi crittografici obsoleti e manca di un adeguato pinning del certificato, che potrebbe consentire agli aggressori di sfruttare certificati falsi e intercettare il traffico. Ciò espone gli utenti a furto di identità, frode finanziaria e sorveglianza non autorizzata. È necessario implementare solidi standard di crittografia come la crittografia end-to-end (E2EE) o forti protocolli TLS [3].
7. Rischi di iniezione di SQL e chiavi con codice rigido: l'app deve anche affrontare rischi di iniezione di SQL e utilizza chiavi di crittografia con codice rigido, indebolendo ulteriormente la sua postura di sicurezza. Queste pratiche aumentano il rischio di violazioni dei dati e accesso non autorizzato [6].
8. Raccolta di dati e problemi di privacy: l'app di Deepseek raccoglie più autorizzazioni del necessario, raccogliendo metadati e potenzialmente monitorando il comportamento degli utenti oltre a ciò che viene divulgato nella sua politica sulla privacy. Questo superamento potrebbe portare a raccolta di dati non autorizzati e conflitti con regolamenti sulla privacy come GDPR e CCPA [3].
Queste vulnerabilità evidenziano la necessità di DeepSeek per affrontare i suoi problemi di sicurezza e privacy per proteggere efficacemente i dati degli utenti.
Citazioni:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-prisk-in-deepseek-and-other-frontier-ragioning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevent-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-loak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-rivacy weaknesses
[10] https://www.nownecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-resks-in-deepseek-app-app/