Aplikácia DeepSeek Android bola identifikovaná s niekoľkými významnými zraniteľnými zraniteľnosťami bezpečnosti, ktoré predstavujú pre používateľov značné riziká. Tu sú konkrétne zraniteľné miesta a ich dôsledky:
1. Nezabezpečená konfigurácia siete: APP nemá správne opatrenia na bezpečnosť siete, vďaka čomu je veľmi náchylná na útoky na človeka v strede (MITM). Keď sa používatelia pripojia cez verejné Wi-Fi alebo nedôveryhodné siete, útočníci môžu zachytiť a manipulovať s údajmi, potenciálne ukradnúť prihlasovacie údaje, osobné správy a podrobnosti o platbách. Aby sa to zmiernilo, DeepSeek by mohol implementovať HTTPS s HSTS a použiť pripojenie SSL na overenie certifikátov servera [1].
2. Žiadne validácia SSL alebo pripojenie certifikátu: DeepSeek nedokáže overiť certifikáty SSL, čím je zraniteľný voči útokom na zosobnenie. Hackeri môžu vydávať sa za dôveryhodné servery a zachytiť citlivé informácie, ako sú prihlasovacie údaje a osobné údaje. Implementácia pripojenia certifikátu SSL a prísne protokoly validácie SSL môžu riešiť tento problém [1].
3. Slabá detekcia koreňov: Neefektívna detekcia koreňov aplikácie umožňuje útočníkom s koreňovým prístupom k obtoku bezpečnostných ovládacích prvkov a extrahovať citlivé údaje. Zakorenené zariadenia sú obzvlášť zraniteľné voči škodlivému softvéru a pokročilým kybernetickým útokom. Posilnenie mechanizmov detekcie koreňov pomocou pokročilých bezpečnostných kontrol a integrácia knižníc tretích strán, ako je Safetynet, môže zlepšiť bezpečnosť [1].
4. Citlivosť na zraniteľnosť StrandHogg: DeepSeek je zraniteľný voči zraniteľnosti StrandHogg, ktorá umožňuje škodlivé aplikácie na unesenie legitímnych úloh aplikácií a zobrazuje falošné prihlasovacie obrazovky, aby ukradli poverenia používateľov. To môže viesť k phishingu a krádeži identity. Aktualizácia aplikácie na zacielenie na novšie verzie Android s vylepšenými bezpečnostnými opravami a implementáciou prísnych nastavení afinity úloh môže zmierniť toto riziko [1].
5. Vystavenie zraniteľnosti Janus: Aplikácia je vystavená zraniteľnosti Janus, čo útočníkom umožňuje upraviť súbor APK APK bez prerušenia jeho digitálneho podpisu, čo umožňuje vstrekovanie škodlivého softvéru. Implementácia kontroly integrity aplikácií, pomocou podpisu aplikácie Google Play a využívanie podpísania aplikácií pre Android môže zabrániť neoprávneným úpravám [1].
6. Slabé šifrovacie a riziká ochrany osobných údajov: Aplikácia používa slabé šifrovacie mechanizmy, vďaka čomu sú údaje používateľov náchylné na odpočúvanie. Používa zastarané kryptografické algoritmy a chýba mu správne pripojenie certifikátu, čo by útočníkom mohlo umožniť využívať falošné certifikáty a zachytiť prenos. To vystavuje používateľom krádeži identity, finančné podvody a neoprávnené dohľad. Implementácia robustných šifrovacích štandardov, ako je šifrovanie end-to-end (E2EE) alebo silné protokoly TLS, je potrebné [3].
7. SQL Riziká vstrekovania a pevné kódované kľúče: APP tiež čelí rizikám vstrekovania SQL a používa pevne kódované šifrovacie kľúče, čím ďalej oslabuje svoje bezpečnostné držanie tela. Tieto postupy zvyšujú riziko porušenia údajov a neoprávneného prístupu [6].
8. Obavy zberu údajov a obavy o ochranu osobných údajov: Aplikácia DeepSeek zhromažďuje viac povolení, ako je potrebné, zhromažďovanie metadát a potenciálne sledovanie správania používateľov nad rámec toho, čo je zverejnené vo svojich zásadách ochrany osobných údajov. Tento prekročenie by mohlo viesť k neoprávnenému zberu údajov a konfliktom s predpismi ochrany osobných údajov, ako sú GDPR a CCPA [3].
Tieto zraniteľné miesta zdôrazňujú potrebu DeepSeek na riešenie jeho bezpečnostných problémov a ochrany osobných údajov na efektívnu ochranu údajov používateľov.
Citácie:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security- riSk-in-deepseek-and-other-other-frontier-reasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-sks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/adeep-peeek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-sesearch-unkovers-exposed-deepseek-database-leak
[8] https://theackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-untoves-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[11] https://krebonsecurity.com/2025/02/experts-flag-security-privacy-reps-indeepseek-ai-App/