Aplikacija DeepSeek Android je bila identificirana z več pomembnimi varnostnimi ranljivostmi, ki predstavljajo velika tveganja za uporabnike. Tu so posebne ranljivosti in njihove posledice:
1. Nezavarovana omrežna konfiguracija: Aplikacija nima ustreznih ukrepov za varnost omrežja, zaradi česar je zelo dovzetna za napade človeka v sredini (MITM). Ko se uporabniki povežejo nad javnim Wi-Fi ali nezaupljivimi omrežji, lahko napadalci prestrežejo in manipulirajo s podatki, kar lahko krade poverilnice za prijavo, osebna sporočila in podatke o plačilu. Da bi to ublažili, bi lahko Deepseek izvedel HTTPS s HST in uporabil SSL pripenjanje za potrditev strežniških potrdil [1].
2. Brez validacije SSL ali potrdila: Deepseek ne potrdi certifikatov SSL, zaradi česar je ranljiv za napade lažnega predstavljanja. Hekerji lahko lažno predstavljajo zaupanja vredne strežnike in prestrežejo občutljive informacije, kot so poverilnice za prijavo in osebni podatki. Izvajanje SSL potrdila in strogi protokoli za preverjanje SSL lahko rešijo to težavo [1].
3. Šibko odkrivanje korenin: Neučinkovito odkrivanje korenin aplikacije omogoča napadalcem z koreninskim dostopom do obhodnih varnostnih kontrol in pridobivanja občutljivih podatkov. Ukoreninjene naprave so še posebej ranljive za zlonamerno programsko opremo in napredne kibernetske napade. Krepitev mehanizmov za odkrivanje korenin z naprednimi varnostnimi pregledi in vključevanje knjižnic tretjih oseb, kot je SafeTynet, lahko izboljšajo varnost [1].
4. dovzetnost za ranljivost Strandhogg: Deepseek je ranljiv za ranljivost Strandhogg, ki zlonamernim aplikacijam omogoča ugrabitev zakonitih nalog aplikacij, pri čemer prikazuje ponarejene zaslone za prijavo, da ukradejo uporabniške poverilnice. To lahko privede do kraje lažnega predstavljanja in identitete. Posodobitev aplikacije za ciljanje na novejše različice Android z izboljšanimi varnostnimi popravki in izvajanje strogih nastavitev afinitete naloge lahko ublaži to tveganje [1].
5. Izpostavljenost ranljivosti Janusa: aplikacija je izpostavljena ranljivosti Janusa, ki napadalcem omogoča, da spremenijo datoteko APK aplikacije, ne da bi zlomili svoj digitalni podpis, kar omogoča vbrizgavanje zlonamerne programske opreme. Izvajanje preverjanj integritete aplikacij, z uporabo podpisovanja aplikacij Google Play in uporabe podpisovanja aplikacij Android lahko prepreči nepooblaščene spremembe [1].
6. Šibka šifriranje in tveganja za zasebnost: aplikacija uporablja šibke mehanizme šifriranja, zaradi česar so uporabniške podatke dovzetne za prestrezanje. Uporablja zastarele kriptografske algoritme in nima ustreznega pritrditve certifikatov, kar bi lahko napadalcem omogočilo izkoriščanje ponarejenih potrdil in prestrezanje prometa. To uporabnike izpostavlja kraji identitete, finančne goljufije in nepooblaščenim nadzorom. Izvajanje močnih standardov šifriranja, kot so šifriranje od konca do konca (E2EE) ali močni protokoli TLS, je potrebno [3].
7. Vbrizgavanje SQL in trde kodirane tipke: Aplikacija se sooča tudi s tveganji za vbrizgavanje SQL in uporablja trdo kodirane šifrirne tipke, kar še dodatno oslabi njegovo varnostno držo. Te prakse povečujejo tveganje za kršitve podatkov in nepooblaščen dostop [6].
8. Skrb za zbiranje in zasebnost podatkov: Aplikacija Deepseek zbira več dovoljenj, kot je potrebno, zbira metapodatke in potencialno spremlja vedenje uporabnikov, ki presegajo tisto, kar je razkrito v njegovi politiki zasebnosti. Ta pretiravanje bi lahko privedlo do nepooblaščenega nabiranja podatkov in v nasprotju s predpisi o zasebnosti, kot sta GDPR in CCPA [3].
Te ranljivosti poudarjajo potrebo po Deepseeku za reševanje svojih vprašanj o varnosti in zasebnosti za učinkovito zaščito uporabniških podatkov.
Navedbe:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-reepseek
[2] https://blogs.cisco.com/security/evaluting-security-risk-in-diepseek-and-other-frontier-loasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-phevented-the-the-Damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-meep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sesivetive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weakness
[10] https://www.nowecure.com/blog/2025/02/06/nowecure-uncovers-moultiple-security-and-privacy-flaws in-deepseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/