„Deepseee Android“ programa buvo nustatyta su keliais reikšmingais saugos pažeidžiamumais, keliančiais didelę riziką vartotojams. Čia yra specifiniai pažeidžiamumai ir jų padariniai:
1. Neužtikrinta tinklo konfigūracija: Programoje trūksta tinkamų tinklo saugumo priemonių, todėl ji yra labai jautri žmogaus vidurio (MITM) atakoms. Kai vartotojai prisijungia prie viešų „Wi-Fi“ ar nepasitikėtų tinklų, užpuolikai gali perimti ir manipuliuoti duomenimis, galimai pavogdami prisijungimo kredencialus, asmeninius pranešimus ir išsamią mokėjimo informaciją. Norėdami tai sušvelninti, „Deepseek“ galėtų įdiegti HTTPS naudodamas HSTS ir naudoti SSL prisegimą serverio sertifikatų patvirtinimui [1].
2. Nėra SSL patvirtinimo ar sertifikato prisegimo: „Deepseek“ nepatvirtina SSL sertifikatų, todėl jis yra pažeidžiamas apsimetinėjimo atakų. Įsilaužėliai gali apsimesti patikimais serveriais ir perimti neskelbtiną informaciją, tokią kaip prisijungimo kredencialai ir asmeniniai duomenys. SSL sertifikato prisegimo ir griežtų SSL patvirtinimo protokolų įgyvendinimas gali išspręsti šią problemą [1].
3. Silpnas šaknų aptikimas: neveiksmingas programos šaknies aptikimas leidžia užpuolikams, turintiems prieigą prie apeiti saugos valdiklius ir ištraukti neskelbtinus duomenis. Įsišaknyti prietaisai yra ypač pažeidžiami kenkėjiškų programų ir pažangių kibernetinių išpuolių. Šaknies aptikimo mechanizmų stiprinimas naudojant patobulintus saugos patikrinimus ir integruojant trečiųjų šalių bibliotekas, tokias kaip „SafetyNet“, gali pagerinti saugumą [1].
4. Jautrumas „Strandhogg“ pažeidžiamumui: „Deepseek“ yra pažeidžiamas „Strandhogg“ pažeidžiamumo, kuris suteikia galimybę kenksmingoms programoms pagrobti teisėtas programų užduotis, rodant netikrus prisijungimo ekranus, kad pavogtų vartotojo kredencialus. Tai gali sukelti sukčiavimo ir tapatybės vagystes. Atnaujinus programą, kad būtų nukreiptos naujesnės „Android“ versijos, naudojant patobulintus saugos pataisas ir įgyvendinant griežtus užduoties giminingumo parametrus, galite sušvelninti šią riziką [1].
5. „Janus“ pažeidžiamumo poveikis: programa yra veikiama „Janus“ pažeidžiamumo, leidžiančios užpuolikams modifikuoti programos APK failą, nesulaužant savo skaitmeninio parašo, įgalinant kenkėjiškų programų įpurškimą. Įdiegus programų vientisumo patikrinimus, naudojant „Google Play“ programos pasirašymą ir naudojant „Android“ programų pasirašymą, galite užkirsti kelią neteisėtoms modifikacijoms [1].
6. Silpnas šifravimas ir privatumo rizika: Programa naudoja silpnus šifravimo mechanizmus, todėl vartotojo duomenys yra jautrūs perėmimui. Jame naudojami pasenę kriptografiniai algoritmai, jame trūksta tinkamo pažymėjimo prisegimo, kuris galėtų leisti užpuolikams išnaudoti padirbtus sertifikatus ir perimti srautą. Tai atskleidžia vartotojams tapatybės vagystes, finansinį sukčiavimą ir neteisėtą stebėjimą. Įdiegti tvirtus šifravimo standartus, tokius kaip šifravimas nuo galo iki galo (E2EE) arba STIPS TLS protokolai, būtina [3].
7. Ši praktika padidina duomenų pažeidimų riziką ir neteisėtą prieigą [6].
8. Duomenų rinkimo ir privatumo rūpesčiai: „Deepseek“ programa renka daugiau leidimų, nei būtina, renka metaduomenis ir potencialiai sekti vartotojo elgesį, viršijantį tai, kas atskleidžiama jos privatumo politikoje. Šis per didelis nutekėjimas gali sukelti neteisėtą duomenų rinkimą ir konfliktus su privatumo taisyklėmis, tokiomis kaip GDPR ir CCPA [3].
Šie pažeidžiamumai pabrėžia, kad „DeepSeek“ reikia išspręsti jo saugumo ir privatumo problemas, kad būtų galima efektyviai apsaugoti vartotojų duomenis.
Citatos:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security -risk-in-deepseek-and-ther-frontier-reasoning-models
[3] https://moxso.com/blog/deepseeksandroid-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-faiures-how-prowdov-could-have-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-covovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-covovers-multiple-security-and-privacy-flaws-in-deepseee-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/