Додаток DeepSeek Android був ідентифікований з кількома значними вразливими місцями безпеки, які становлять значні ризики для користувачів. Ось конкретні вразливості та їх наслідки:
1. Незабезпечена конфігурація мережі: у додатку не вистачає належних заходів безпеки мережі, що робить його дуже сприйнятливим до атак людини-середнього (MITM). Коли користувачі підключаються до публічних Wi-Fi або ненадійних мереж, зловмисники можуть перехоплювати та маніпулювати даними, потенційно крадучи облікові дані входу, особисті повідомлення та дані про платіж. Щоб пом'якшити це, DeepSeek міг би реалізувати HTTPS за допомогою HSTS та використовувати SSL Pinning для підтвердження сертифікатів серверів [1].
2. Немає перевірки SSL або зафіксування сертифікатів: DeepSeek не вдається перевірити сертифікати SSL, роблячи його вразливим до атак на втілення. Хакери можуть представити довірені сервери та перехопити конфіденційну інформацію, наприклад, облікові дані входу та персональні дані. Впровадження SSL -сертифікатів та суворих протоколів перевірки SSL може вирішити це питання [1].
3. Слабке виявлення коренів: Неефективне виявлення кореня додатка дозволяє зловмисникам з кореневим доступом до обхідних контрольних даних та витягувати конфіденційні дані. Укорінені пристрої особливо вразливі до зловмисних та вдосконалених кібератак. Посилення механізмів виявлення коренів за допомогою розширених перевірок безпеки та інтеграція сторонніх бібліотек, таких як Safetynet, може покращити безпеку [1].
. Це може призвести до фішингу та крадіжок ідентичності. Оновлення програми для орієнтації на нові версії Android за допомогою вдосконалених патчів безпеки та впровадження суворих налаштувань спорідненості завдань може пом'якшити цей ризик [1].
5. Вплив вразливості Януса: Додаток піддається вразливості Janus, що дозволяє зловмисникам змінювати файл APK додатка, не порушуючи його цифровий підпис, що дозволяє впорскувати зловмисне програмне забезпечення. Реалізація перевірки цілісності додатків, за допомогою підписання додатків Google Play та використання підписання додатків для Android може запобігти несанкціонованим модифікаціям [1].
6. Слабкі ризики шифрування та конфіденційності: додаток використовує слабкі механізми шифрування, що робить дані користувачів сприйнятливими до перехоплення. У ньому використовуються застарілі криптографічні алгоритми та не мають належного закріплення сертифікатів, що може дозволити зловмисникам використовувати підроблені сертифікати та перехопити трафік. Це піддає користувачів крадіжку ідентичності, фінансового шахрайства та несанкціонованого спостереження. Необхідно впроваджувати стійкі стандарти шифрування, такі як шифрування в кінці (E2EE) або сильні протоколи TLS [3].
7. Ризики ін'єкцій SQL та жорсткі кодовані клавіші: Додаток також стикається з ризиками ін'єкцій SQL та використовує жорсткі кодовані клавіші шифрування, що ще більше послаблює його позицію безпеки. Ці практики збільшують ризик порушення даних та несанкціонований доступ [6].
8. Збір даних та проблеми конфіденційності: Додаток DeepSeek збирає більше дозволів, ніж потрібно, збираючи метадані та потенційно відстежуючи поведінку користувачів, крім того, що розкрито в його політиці конфіденційності. Це перевитрат може призвести до несанкціонованого збирання даних та конфліктів з правилами конфіденційності, такими як GDPR та CCPA [3].
Ці вразливості підкреслюють необхідність DeepSeek для вирішення своїх проблем безпеки та конфіденційності для ефективного захисту даних користувачів.
Цитати:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-securit
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-aproov-could-have-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-expoded-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-ransmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[.