Aplikacja Deepseek Android została zidentyfikowana z kilkoma znaczącymi lukami bezpieczeństwa, które stanowią znaczne ryzyko dla użytkowników. Oto konkretne luki i ich implikacje:
1. Niezabezpieczona konfiguracja sieci: Aplikacja nie ma odpowiednich środków bezpieczeństwa sieci, co czyni ją bardzo podatną na ataki Man-in-the-Middle (MITM). Gdy użytkownicy łączą się z publicznymi sieciami Wi-Fi lub niezaufani, atakujący mogą przechwytywać i manipulować danymi, potencjalnie kradnąc poświadczenia logowania, wiadomości osobiste i szczegóły płatności. Aby to złagodzić, DeepSeek może zaimplementować HTTPS z HSTS i użyć przypinania SSL do walidacji certyfikatów serwera [1].
2. Brak sprawdzania sprawdzania poprawności SSL lub certyfikatu: Deepseek nie potwierdza certyfikatów SSL, co sprawia, że jest podatny na ataki podszywające się pod uwagę. Hakerzy mogą podszywać się pod zaufane serwery i przechwycić poufne informacje, takie jak poświadczenia logowania i dane osobowe. Wdrożenie Protokoły przypinania certyfikatu SSL i surowe protokoły sprawdzania poprawności SSL może rozwiązać ten problem [1].
3. Słabe wykrywanie korzeni: Nieefektywne wykrywanie korzeni aplikacji umożliwia atakującym z dostępem korzeni na ominięcie kontroli bezpieczeństwa i wyodrębniania wrażliwych danych. Urządzenia zrootowane są szczególnie podatne na złośliwe oprogramowanie i zaawansowane cyberataki. Wzmocnienie mechanizmów wykrywania korzeni za pomocą zaawansowanych kontroli bezpieczeństwa i integracja bibliotek stron trzecich, takich jak SafeTyNet, może poprawić bezpieczeństwo [1].
4. Wrażliwość na podatność na Strandhogg: Deepseek jest podatna na podatność na Strandhogg, która umożliwia złośliwym aplikacjom na porywanie legalnych zadań aplikacji, wyświetlając fałszywe ekrany logowania w celu kradzieży poświadczeń użytkowników. Może to prowadzić do phishing i kradzieży tożsamości. Aktualizacja aplikacji do ukierunkowania nowszych wersji na Androida z ulepszonymi łatami bezpieczeństwa i wdrożenie ścisłych ustawień powinowactwa może złagodzić to ryzyko [1].
5. Ekspozycja na podatność Janusa: Aplikacja jest narażona na podatność Janus, umożliwiając atakującym modyfikację pliku APK aplikacji bez łamania podpisu cyfrowego, umożliwiając wstrzyknięcie złośliwego oprogramowania. Wdrażanie kontroli integralności aplikacji, korzystanie z podpisywania aplikacji Google Play i zastosowanie podpisywania aplikacji na Androida może zapobiec nieautoryzowanym modyfikacjom [1].
6. Słabe ryzyko szyfrowania i prywatności: Aplikacja wykorzystuje słabe mechanizmy szyfrowania, dzięki czemu dane użytkownika podatne na przechwycenie. Wykorzystuje przestarzałe algorytmy kryptograficzne i brakuje odpowiedniego przypinania certyfikatów, co może pozwolić atakującym na wykorzystanie fałszywych certyfikatów i przechwytywania ruchu. To naraża użytkowników na kradzież tożsamości, oszustwo finansowe i nieautoryzowany nadzór. Konieczne jest wdrożenie solidnych standardów szyfrowania, takich jak End-to-End Encryption (E2EE) lub silne protokoły TLS [3].
7. Ryzyko iniekcji SQL i klawisze z twardymi klawiszami: Aplikacja stoi również w obliczu ryzyka wstrzyknięcia SQL i używa okołomionych klawiszy szyfrowania, dodatkowo osłabiając jego postawę bezpieczeństwa. Praktyki te zwiększają ryzyko naruszenia danych i nieautoryzowanego dostępu [6].
8. Obawy dotyczące gromadzenia danych i prywatności: Aplikacja Deepseek zbiera więcej uprawnień niż to konieczne, gromadzenie metadanych i potencjalne śledzenie zachowań użytkowników wykraczających poza to, co ujawnia się w polityce prywatności. To nadmierne przekroczenie może prowadzić do nieautoryzowanego zbierania danych i konfliktu z przepisami dotyczącymi prywatności, takimi jak RODO i CCPA [3].
Te luki podkreślają potrzebę DeepSeek w celu rozwiązania problemów związanych z bezpieczeństwem i prywatnością w celu skutecznego ochrony danych użytkownika.
Cytaty:
[1] https://www.appkknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reassing-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-storisks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-lould-have-prevent-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-feek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensivey-user.html
[9] https://uwaterloo.ca/information-Systems-technology/news/deepseek-app-security-and-privacy Weakness
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-in-deepseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/