DeepSeek Android lietotne ir identificēta ar vairākām nozīmīgām drošības ievainojamībām, kas lietotājiem rada ievērojamu risku. Šeit ir īpašas ievainojamības un to sekas:
1. Nenodrošināta tīkla konfigurācija: lietotnei trūkst atbilstošu tīkla drošības pasākumu, padarot to ļoti jutīgu pret vidējo (MITM) uzbrukumiem. Kad lietotāji savienojas ar publisku Wi-Fi vai neuzticamiem tīkliem, uzbrucēji var pārtvert un manipulēt ar datiem, potenciāli nozagt pieteikšanās akreditācijas datus, personīgās ziņojumus un maksājuma informāciju. Lai to mazinātu, DeepSeek varētu ieviest HTTPS ar HST un izmantot SSL piespraušanu, lai apstiprinātu servera sertifikātus [1].
2. Nav SSL validācijas vai sertifikāta piespraudes: DeepSeek nespēj apstiprināt SSL sertifikātus, padarot to neaizsargātu pret uzdošanos par uzbrukumiem. Hakeri var uzdoties par uzticamiem serveriem un pārtveršanas sensitīvu informāciju, piemēram, pieteikšanās akreditācijas datiem un personas datiem. SSL sertifikāta piespraušanas un stingri SSL validācijas protokolu ieviešana var risināt šo problēmu [1].
3. Vāja sakņu noteikšana: lietotnes neefektīvā sakņu noteikšana ļauj uzbrucējiem ar sakņu piekļuvi apiet drošības kontroli un iegūt sensitīvus datus. Sakņoties ierīces ir īpaši neaizsargātas pret ļaunprātīgu programmatūru un uzlabotām kiberuzbrukumiem. Sakņu noteikšanas mehānismu stiprināšana ar uzlabotām drošības pārbaudēm un trešo personu bibliotēku integrēšana, piemēram, Safetynet, var uzlabot drošību [1].
4. Uzņēmums pret Strandhogg ievainojamību: DeepSeek ir neaizsargāts pret Strandhogg ievainojamību, kas ļauj ļaunprātīgām lietotnēm nolaupīt likumīgus lietotņu uzdevumus, parādot viltus pieteikšanās ekrānus, lai nozagtu lietotāja akreditācijas datus. Tas var izraisīt pikšķerēšanas un identitātes zādzību. Lietotnes atjaunināšana, lai mērķētu uz jaunākām Android versijām, ar uzlabotiem drošības ielāpiem un stingru uzdevumu afinitātes iestatījumu ieviešanu var mazināt šo risku [1].
5. Janus ievainojamības iedarbība: lietotne ir pakļauta Janus ievainojamībai, ļaujot uzbrucējiem modificēt lietotnes APK failu, nesalaužot tā digitālo parakstu, ļaujot izmantot ļaunprātīgas programmatūras injekciju. Lietotņu integritātes pārbaužu ieviešana, Google Play lietotņu parakstīšanas izmantošana un Android lietojumprogrammu parakstīšanas izmantošana var novērst neatļautas modifikācijas [1].
6. Vāja šifrēšanas un privātuma riski: lietotne izmanto vājus šifrēšanas mehānismus, padarot lietotāju datus uzņēmīgus pret pārtveršanu. Tajā tiek izmantoti novecojuši kriptogrāfijas algoritmi, un tam trūkst atbilstošas sertifikāta piespraušanas, kas varētu ļaut uzbrucējiem izmantot viltus sertifikātus un pārtvert satiksmi. Tas lietotājiem pakļauj identitātes zādzību, finansiālu krāpšanu un neatļautu uzraudzību. Nepieciešama spēcīgu šifrēšanas standartu ieviešana, piemēram, visaptveroša šifrēšana (E2EE) vai spēcīgi TLS protokoli [3].
7. SQL injekcijas riski un cietie kodēti taustiņi: lietotne saskaras arī ar SQL injekcijas riskiem un izmanto cietās kodēšanas šifrēšanas atslēgas, vēl vairāk vājinot tās drošības pozu. Šī prakse palielina datu pārkāpumu un neatļautas piekļuves risku [6].
8. Datu vākšana un privātuma problēmas: DeepSeek lietotne apkopo vairāk atļauju nekā nepieciešams, vācot metadatus un potenciāli izsekojot lietotāju uzvedību ārpus tā, kas tiek atklāts tās privātuma politikā. Šī pārsniegšana varētu izraisīt neatļautu datu novākšanu un konfliktus ar tādiem privātuma noteikumiem kā GDPR un CCPA [3].
Šīs ievainojamības uzsver nepieciešamību pēc DeepSeek, lai risinātu tās drošības un privātuma problēmas, lai efektīvi aizsargātu lietotāju datus.
Atsauces:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-depseek
[2] https://blogs.cisco.com/security/valuating-security-risk-in-depseek-and-other-frontier-streasoning modeles
[3] https://moxo.com/blog/deepseeks-android-app-flaws-privacy-reks
[4.]
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securitycorecard.com/blog/a-deep-peek-at-depseek/
,
[8] https://thehackernews.com/2025/02/deepseek-app-transfits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weakneseses
.
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risk-in-depseek-ai-app/