DeepSeek Android -appen har blitt identifisert med flere betydelige sikkerhetsproblemer som utgjør betydelig risiko for brukerne. Her er de spesifikke sårbarhetene og deres implikasjoner:
1. Usikret nettverkskonfigurasjon: Appen mangler riktige nettverkssikkerhetstiltak, noe som gjør den svært utsatt for angrep fra Man-in-the-Middle (MITM). Når brukere kobler seg over offentlige Wi-Fi eller ikke-tillitsfulle nettverk, kan angripere avskjære og manipulere data, og potensielt stjele påloggingsinformasjon, personlige meldinger og betalingsdetaljer. For å dempe dette, kunne DeepSeek implementere HTTP -er med HSTS og bruke SSL -pinning for å validere serversertifikater [1].
2. Ingen SSL -validering eller sertifikatpinning: DeepSeek unnlater å validere SSL -sertifikater, noe som gjør det sårbart for etterligningsangrep. Hackere kan etterligne pålitelige servere og avskjære sensitiv informasjon, for eksempel påloggingsinformasjon og personopplysninger. Implementering av SSL -sertifikatpinning og strenge SSL -valideringsprotokoller kan løse dette problemet [1].
3. Svak rotdeteksjon: Appens ineffektive rotdeteksjon gjør det mulig for angripere med rottilgang for å omgå sikkerhetskontroller og trekke ut sensitive data. Rott enheter er spesielt utsatt for skadelig programvare og avanserte cyberattacks. Å styrke rotdeteksjonsmekanismer med avanserte sikkerhetskontroller og integrere tredjepartsbiblioteker som Safetynet kan forbedre sikkerheten [1].
4. Følsomhet for StrandHogg -sårbarheten: DeepSeek er sårbar for StrandHogg -sårbarheten, som gjør det mulig for ondsinnede apper til å kapre legitime appoppgaver, og viser falske påloggingsskjermer for å stjele brukeropplysning. Dette kan føre til phishing og identitetstyveri. Oppdatering av appen for å målrette nyere Android -versjoner med forbedrede sikkerhetsoppdateringer og implementere strenge oppgavesamfunnsinnstillinger kan dempe denne risikoen [1].
5. Eksponering for Janus -sårbarheten: Appen er utsatt for Janus -sårbarheten, slik at angripere kan endre appens APK -fil uten å bryte den digitale signaturen, slik at injeksjon av skadelig programvare. Implementering av App Integrity -sjekker, bruk av Google Play App -signering og bruk av Android -applikasjonssignering kan forhindre uautoriserte modifikasjoner [1].
6. Svak kryptering og personvernrisiko: Appen bruker svake krypteringsmekanismer, noe som gjør brukerdata mottakelige for avskjæring. Den benytter utdaterte kryptografiske algoritmer og mangler riktig sertifikatpinning, noe som kan tillate angripere å utnytte falske sertifikater og avskjære trafikk. Dette utsetter brukere for identitetstyveri, økonomisk svindel og uautorisert overvåking. Implementering av robuste krypteringsstandarder som ende-til-ende kryptering (E2EE) eller sterke TLS-protokoller er nødvendig [3].
7. SQL -injeksjonsrisikoer og hardkodede nøkler: Appen står også overfor SQL -injeksjonsrisiko og bruker hardkodede krypteringsnøkler, noe som ytterligere svekker sikkerhetsstillingen. Disse praksisene øker risikoen for brudd på data og uautorisert tilgang [6].
8. Datainnsamling og personvernhensyn: DeepSeeks app samler flere tillatelser enn nødvendig, samler metadata og potensielt sporer brukeratferd utover det som blir avslørt i personvernreglene. Denne overreaksjonen kan føre til uautorisert datahøsting og konflikter med personvernforskrifter som GDPR og CCPA [3].
Disse sårbarhetene fremhever behovet for DeepSeek for å løse dets sikkerhets- og personvernproblemer for å beskytte brukerdata effektivt.
Sitasjoner:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-depseek
[2] https://blogs.cisco.com/security/eValuating-scurity-Sisk-in-depeSeek-and-oTher-frontier-reasoning-Models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-sisss
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-scamage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-dep-eek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncover-exposed-depseek-database-laks
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-ensitive-bruker.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-Deepseek-ios-mobile-app/
[11] https://krebssecurity.com/2025/02/experts-flag-security-privacy-riss-in-depeSeek-ai-app/