Deepseek Android -appen har identifierats med flera betydande säkerhetssårbarheter som utgör betydande risker för användarna. Här är de specifika sårbarheterna och deras konsekvenser:
1. Osäker nätverkskonfiguration: Appen saknar korrekt nätverkssäkerhetsåtgärder, vilket gör den mycket mottaglig för attacker av man-in-the-mitten (MITM). När användare ansluter sig till offentliga Wi-Fi eller opålitliga nätverk, kan angripare fånga upp och manipulera data, vilket potentiellt är stjäl inloggningsuppgifter, personliga meddelanden och betalningsinformation. För att mildra detta kunde DeepSeek implementera HTTPS med HSTS och använda SSL -fästning för att validera servercertifikat [1].
2. Ingen SSL -validering eller certifikatfästning: Deepseek misslyckas med att validera SSL -certifikat, vilket gör det sårbart för efterlikningsattacker. Hackare kan efterlätta betrodda servrar och avlyssna känslig information, till exempel inloggningsuppgifter och personuppgifter. Implementering av SSL -certifikatfästning och strikta SSL -valideringsprotokoll kan ta itu med detta problem [1].
3. Svag rotdetektering: Appens ineffektiva rotdetektering gör det möjligt för angripare med rotåtkomst till förbikopplingssäkerhetskontroller och extrahera känsliga data. Rotade enheter är särskilt sårbara för skadlig programvara och avancerade cyberattacker. Att stärka rotdetekteringsmekanismerna med avancerade säkerhetskontroller och integrera tredjepartsbibliotek som Safetynet kan förbättra säkerheten [1].
4. Känslighet för Strandhogg -sårbarheten: Deepseek är sårbar för Strandhogg -sårbarheten, vilket gör det möjligt för skadliga appar att kapa legitima appuppgifter och visa falska inloggningsskärmar för att stjäla användaruppgifter. Detta kan leda till phishing och identitetsstöld. Att uppdatera appen för att rikta in sig på nyare Android -versioner med förbättrade säkerhetsuppdrag och implementering av strikta uppgifter om affinitet kan mildra denna risk [1].
5. Exponering för Janus sårbarhet: Appen utsätts för Janus -sårbarheten, vilket gör att angripare kan modifiera appens APK -fil utan att bryta sin digitala signatur, vilket möjliggör injektion av skadlig programvara. Genomförande av appintegritetskontroller, använda Google Play -appsignering och anställa Android -applikationssignering kan förhindra obehöriga ändringar [1].
6. Svag krypterings- och integritetsrisker: Appen använder svaga krypteringsmekanismer, vilket gör användardata mottagliga för avlyssning. Det använder föråldrade kryptografiska algoritmer och saknar korrekt certifikatfästning, vilket kan göra det möjligt för angripare att utnyttja falska certifikat och fånga trafik. Detta utsätter användare för identitetsstöld, ekonomiskt bedrägeri och obehörig övervakning. Implementering av robusta krypteringsstandarder som en-till-end-kryptering (E2EE) eller starka TLS-protokoll är nödvändig [3].
7. SQL -injektionsrisker och hårdkodade nycklar: Appen står också inför SQL -injektionsrisker och använder hårdkodade krypteringsnycklar, vilket ytterligare försvagar säkerhetsställningen. Dessa metoder ökar risken för dataöverträdelser och obehörig åtkomst [6].
8. Insamlings- och integritetsproblem: Deepseeks app samlar in fler behörigheter än nödvändigt, samlar metadata och potentiellt spårar användarbeteende utöver vad som avslöjas i sin integritetspolicy. Denna överreaktion kan leda till obehörig skörd av data och konflikter med integritetsregler som GDPR och CCPA [3].
Dessa sårbarheter belyser behovet av Deepseek för att ta itu med sina säkerhets- och integritetsproblem för att skydda användardata effektivt.
Citeringar:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
]
[3] https://moxso.com/blog/deepseeks-android-app-laws-privacy-srisker
]
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityScorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-ocovers-exposed-deepseek-database-läck
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-teknologi/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-covers-multiple-security-and-privacy-laws-in-deepseek-ios-mobile-app/
]