DeepSeek Android 앱은 사용자에게 상당한 위험을 초래하는 몇 가지 중요한 보안 취약점으로 확인되었습니다. 특정 취약점과 그 의미는 다음과 같습니다.
1. 무담보 네트워크 구성 : 앱에는 적절한 네트워크 보안 조치가 부족하여 MITM (Man-in-the-Middle) 공격에 매우 취약합니다. 사용자가 공개 Wi-Fi 또는 신뢰할 수없는 네트워크를 통해 연결하면 공격자는 데이터를 가로 채고 조작하여 로그인 자격 증명, 개인 메시지 및 지불 세부 정보를 훔칠 수 있습니다. 이를 완화하기 위해 DeepSeek은 HST를 사용하여 HTTP를 구현하고 SSL 고정을 사용하여 서버 인증서를 검증 할 수 있습니다 [1].
2. SSL 유효성 검사 또는 인증서 고정 없음 : DeepSeek은 SSL 인증서를 검증하지 않아 가장하는 공격에 취약합니다. 해커는 신뢰할 수있는 서버를 가장하고 로그인 자격 증명 및 개인 데이터와 같은 민감한 정보를 가로 채 릴 수 있습니다. SSL 인증서 고정 및 엄격한 SSL 검증 프로토콜 구현은이 문제를 해결할 수 있습니다 [1].
3. 약한 루트 감지 : 앱의 비효율적 인 루트 감지를 통해 공격자는 루트 액세스 권한을 우회하여 보안 제어를 우회하고 민감한 데이터를 추출 할 수 있습니다. 루팅 된 장치는 특히 맬웨어 및 고급 사이버 공격에 취약합니다. 고급 보안 검사를 통해 루트 탐지 메커니즘을 강화하고 SafetyNet과 같은 타사 라이브러리를 통합하면 보안이 향상 될 수 있습니다 [1].
4. Strandhogg 취약성에 대한 감수성 : DeepSeek은 Strandhogg 취약점에 취약하여 악성 앱이 합법적 인 앱 작업을 납치하여 가짜 로그인 화면을 표시하여 사용자 자격 증명을 훔칠 수 있습니다. 이것은 피싱 및 정체성 도난으로 이어질 수 있습니다. 보안 패치가 향상되고 엄격한 작업 선호도 설정을 구현하여 최신 Android 버전을 대상으로 앱을 업데이트하면 이러한 위험을 완화 할 수 있습니다 [1].
5. Janus 취약성에 대한 노출 : 앱은 Janus 취약성에 노출되어 공격자는 디지털 서명을 중단하지 않고 앱의 APK 파일을 수정하여 악성 코드 주입을 가능하게합니다. 앱 무결성 검사 구현, Google Play 앱 서명을 사용하고 Android 애플리케이션 서명을 사용하면 무단 수정을 방지 할 수 있습니다 [1].
6. 약한 암호화 및 개인 정보 보호 위험 : 앱은 약한 암호화 메커니즘을 사용하여 사용자 데이터를 가로 채기 쉽게 만듭니다. 오래된 암호화 알고리즘을 사용하고 적절한 인증서 고정이 부족하여 공격자가 가짜 인증서를 이용하고 트래픽을 가로 채실 수 있습니다. 이는 사용자가 신분 도용, 금융 사기 및 무단 감시에 노출시킵니다. 엔드 투 엔드 암호화 (E2EE) 또는 강력한 TLS 프로토콜과 같은 강력한 암호화 표준을 구현하는 것이 필요합니다 [3].
7. SQL 주입 위험 및 하드 코드 키 : 앱은 SQL 주입 위험에 직면하고 하드 코딩 된 암호화 키를 사용하여 보안 자세가 약화됩니다. 이러한 관행은 데이터 유출의 위험과 무단 액세스의 위험을 증가시킵니다 [6].
8. 데이터 수집 및 개인 정보 보호 문제 : DeepSeek의 앱은 필요한 것보다 더 많은 권한을 수집하여 메타 데이터를 수집하고 개인 정보 보호 정책에 공개되는 것 이상의 사용자 동작을 추적 할 수 있습니다. 이 오버 리치는 무단 데이터 수확으로 이어질 수 있으며 GDPR 및 CCPA와 같은 개인 정보 규정과 충돌 할 수 있습니다 [3].
이러한 취약점은 사용자 데이터를 효과적으로 보호하기 위해 DeepSeek가 보안 및 개인 정보 보호 문제를 해결해야 할 필요성을 강조합니다.
인용 :
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-nepeepseek-nother-frontier-models
[3] https://moxso.com/blog/deepseeks-dreid-app-flaws-privacy-risks
[4] https://proov.io/blog/deepseek-apps-security-failures-pailures-sproov-prepted-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-oxposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-fipseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/