O aplicativo Android Deepseek foi identificado com várias vulnerabilidades de segurança significativas que representam riscos consideráveis para os usuários. Aqui estão as vulnerabilidades específicas e suas implicações:
1. Configuração de rede não segura: o aplicativo não possui medidas adequadas de segurança de rede, tornando-o altamente suscetível a ataques de homem no meio (MITM). Quando os usuários se conectam a Wi-Fi público ou redes não confiáveis, os invasores podem interceptar e manipular dados, potencialmente roubando credenciais de login, mensagens pessoais e detalhes de pagamento. Para mitigar isso, o DeepSeek pode implementar HTTPs com HSTs e usar a pinação SSL para validar certificados de servidor [1].
2. Nenhuma validação SSL ou fixação de certificado: Deepseek não valida os certificados SSL, tornando -o vulnerável a ataques de representação. Os hackers podem se passar por servidores confiáveis e interceptar informações confidenciais, como credenciais de login e dados pessoais. A implementação de protocolos de validação SSL SSL e protocolos de validação SSL podem resolver esse problema [1].
3. Detecção de raiz fraca: A detecção de raiz ineficaz do aplicativo permite que os atacantes com acesso raiz para ignorar os controles de segurança e extrair dados sensíveis. Os dispositivos enraizados são particularmente vulneráveis a malware e ataques cibernéticos avançados. Fortalecer os mecanismos de detecção de raízes com verificações avançadas de segurança e integrar bibliotecas de terceiros como o Safetynet podem melhorar a segurança [1].
4. Susceptibilidade à vulnerabilidade de Strandhogg: Deepseek é vulnerável à vulnerabilidade de Strandhogg, que permite aplicativos maliciosos para seqüestrar tarefas legítimas de aplicativos, exibindo telas de login falsas para roubar credenciais do usuário. Isso pode levar a phishing e roubo de identidade. Atualizar o aplicativo para direcionar versões mais recentes do Android com patches de segurança aprimorados e implementar configurações estritas de afinidade de tarefas podem mitigar esse risco [1].
5. Exposição à vulnerabilidade de Janus: o aplicativo é exposto à vulnerabilidade de Janus, permitindo que os invasores modifiquem o arquivo APK do aplicativo sem quebrar sua assinatura digital, permitindo a injeção de malware. A implementação de verificações de integridade de aplicativos, usando a assinatura de aplicativos do Google Play e empregando a assinatura de aplicativos Android pode impedir modificações não autorizadas [1].
6. Riscos fracos de criptografia e privacidade: o aplicativo usa mecanismos de criptografia fracos, tornando os dados do usuário suscetíveis à interceptação. Emprega algoritmos criptográficos desatualizados e carece de fixação adequada de certificado, o que pode permitir que os invasores explorem certificados falsos e intercepte o tráfego. Isso expõe os usuários a roubo de identidade, fraude financeira e vigilância não autorizada. É necessário implementar padrões de criptografia robustos, como criptografia de ponta a ponta (E2EE) ou protocolos TLS fortes [3].
7. Riscos de injeção de SQL e chaves codificadas: o aplicativo também enfrenta riscos de injeção de SQL e usa chaves de criptografia codificadas, enfraquecendo ainda mais sua postura de segurança. Essas práticas aumentam o risco de violações de dados e acesso não autorizado [6].
8. Preocupações com coleta de dados e privacidade: o aplicativo da Deepseek coleta mais permissões do que o necessário, coletando metadados e potencialmente rastreando o comportamento do usuário além do que é divulgado em sua política de privacidade. Esse excedente pode levar à colheita de dados não autorizada e a conflitos com regulamentos de privacidade como GDPR e CCPA [3].
Essas vulnerabilidades destacam a necessidade de DeepSeek abordar seus problemas de segurança e privacidade para proteger os dados do usuário de maneira eficaz.
Citações:
[1] https://www.appknox.com/blog/is-your-ai-app-afe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-bisk-in-deepseek-and-other-frontier-reasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-riscs
[4] https://apaproov.io/blog/deepseek-apps-security-dailures-ow-aproov-carould-have-prevened-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy- weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-neepseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/