Приложение DeepSeek Android было выявлено с несколькими значительными уязвимостями безопасности, которые представляют значительные риски для пользователей. Вот конкретные уязвимости и их последствия:
1. Ненавинизированная конфигурация сети: в приложении не хватает надлежащих мер по безопасности сети, что делает его очень восприимчивым к атакам человека в среднем (MITM). Когда пользователи подключаются к общедоступным Wi-Fi или ненадежным сетям, злоумышленники могут перехватывать и манипулировать данными, потенциально крадут учетные данные, личные сообщения и данные платежей. Чтобы смягчить это, DeepSeek может реализовать HTTPS с HSTS и использовать SSL Pinning для проверки сертификатов сервера [1].
2. Нет проверки SSL или закрепление сертификата: DeepSeek не подтверждает сертификаты SSL, что делает его уязвимым для атак подражания. Хакеры могут выдавать доверенные серверы и перехватить конфиденциальную информацию, такую как учетные данные для входа и личные данные. Реализация сертификата SSL и строгие протоколы проверки SSL может решить эту проблему [1].
3. Слабое обнаружение корней: неэффективное обнаружение корней приложения позволяет злоумышленникам с корневым доступом к контролям безопасности обхода и извлечена конфиденциальные данные. Укоренные устройства особенно уязвимы для вредоносных программ и передовых кибератак. Укрепление механизмов обнаружения корней с помощью расширенных проверок безопасности и интеграции сторонних библиотек, таких как Safetynet, может улучшить безопасность [1].
4. восприимчивость к уязвимости Strandhogg: DeepSeek уязвима к уязвимости Strandhogg, которая позволяет вредоносным приложениям захватить законные задачи приложений, отображая поддельные экраны для входа в систему для кражи учетных данных пользователя. Это может привести к фишингу и краже личности. Обновление приложения для нацеливания на новые версии Android с улучшенными исправлениями безопасности и реализация строгих настроек сродства задач может смягчить этот риск [1].
5. Воздействие уязвимости JANUS: приложение подвергается воздействию уязвимости JANUS, позволяя злоумышленникам изменять файл APK приложения, не разбивая цифровую подпись, что позволяет впредь вредоносным ПО. Реализация проверки целостности приложений, использование подписания приложений Google Play и использование подписания приложений Android может предотвратить несанкционированные модификации [1].
6. Слабые риски шифрования и конфиденциальности: в приложении используются слабые механизмы шифрования, что делает пользовательские данные восприимчивыми к перехвату. В нем используются устаревшие криптографические алгоритмы и не имеют надлежащего закрепления сертификата, что может позволить злоумышленникам использовать поддельные сертификаты и перехватить трафик. Это подвергает пользователей кражи личных данных, финансового мошенничества и несанкционированного наблюдения. Необходима реализация надежных стандартов шифрования, таких как сквозное шифрование (E2EE) или сильные протоколы TLS [3].
7. Риски впрыска SQL и клавиши с жестким кодированием: приложение также сталкивается с рисками впрыска SQL и использует клавиши с жестким кодированием шифрования, что еще больше ослабляет его осанка безопасности. Эта практика увеличивает риск нарушений данных и несанкционированного доступа [6].
8. Сбор данных и проблемы с конфиденциальностью: приложение DeepSeek собирает больше разрешений, чем необходимо, собирая метаданные и потенциально отслеживая поведение пользователей за пределами того, что раскрывается в его политике конфиденциальности. Это перегрузка может привести к несанкционированному сбору данных и конфликтам с правилами конфиденциальности, такими как GDPR и CCPA [3].
Эти уязвимости подчеркивают необходимость DeepSeek для решения его вопросов безопасности и конфиденциальности для эффективной защиты пользовательских данных.
Цитаты:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-resishing-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-faulures-how-aprov-could-have-preved-the-damege
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weakesessesesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-sion-and-privacy-flaws-in-deepseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/