Deepseek Android uygulaması, kullanıcılar için önemli riskler oluşturan birkaç önemli güvenlik açığı ile tanımlanmıştır. İşte belirli güvenlik açıkları ve sonuçları:
1. Teminatsız Ağ Yapılandırması: Uygulama, uygun ağ güvenlik önlemlerinden yoksundur, bu da ortadaki insan (MITM) saldırılarına son derece duyarlı hale getirir. Kullanıcılar genel Wi-Fi veya güvenilmeyen ağlar üzerinden bağlandıklarında, saldırganlar verileri kesebilir ve manipüle edebilir, potansiyel olarak giriş bilgilerini, kişisel mesajları ve ödeme ayrıntılarını çalabilir. Bunu azaltmak için Deepseek, HST'lerle HTTP'leri uygulayabilir ve sunucu sertifikalarını doğrulamak için SSL sabitleme kullanabilir [1].
2. SSL doğrulama veya sertifika sabitleme: Deepseek, SSL sertifikalarını doğrulayamaz ve bu da kimliğe bürünme saldırılarına karşı savunmasız hale getirir. Bilgisayar korsanları, güvenilir sunucuları taklit edebilir ve oturum açma kimlik bilgileri ve kişisel veriler gibi hassas bilgileri kesebilir. SSL sertifikası sabitleme ve katı SSL doğrulama protokollerinin uygulanması bu sorunu ele alabilir [1].
3. Zayıf kök algılama: APP'nin etkisiz kök algılaması, güvenlik kontrollerini atlamak ve hassas verileri ayıklamak için kök erişimi olan saldırganları sağlar. Köklü cihazlar özellikle kötü amaçlı yazılımlara ve gelişmiş siber saldırılara karşı savunmasızdır. Kök algılama mekanizmalarının gelişmiş güvenlik kontrolleri ile güçlendirilmesi ve SafeTyNet gibi üçüncü taraf kütüphanelerinin entegre edilmesi güvenliği artırabilir [1].
4. Strandhogg Güvenlik Açığı'na yatkınlık: Deepseek, kötü niyetli uygulamaların meşru uygulama görevlerini ele geçirmesini sağlayan ve kullanıcı kimlik bilgilerini çalmak için sahte oturum açma ekranlarını görüntüleyen Strandhogg güvenlik açığına karşı savunmasızdır. Bu kimlik avı ve kimlik hırsızlığına yol açabilir. Uygulamanın gelişmiş güvenlik yamalarıyla daha yeni Android sürümlerini hedeflemek ve katı görev afinite ayarlarının uygulanması bu riski azaltabilir [1].
5. Janus Güvenlik Açığı'na maruz kalma: Uygulama, Janus güvenlik açığına maruz kalır ve saldırganların dijital imzasını kırmadan uygulamanın APK dosyasını değiştirmesine izin verir ve kötü amaçlı yazılım enjeksiyonunu sağlar. Uygulama bütünlüğü kontrolleri uygulamak, Google Play uygulaması imzalaması ve Android uygulama imzalaması kullanmak yetkisiz değişiklikleri önleyebilir [1].
6. Zayıf şifreleme ve gizlilik riskleri: Uygulama zayıf şifreleme mekanizmaları kullanır, bu da kullanıcı verilerini müdahaleye duyarlı hale getirir. Eski kriptografik algoritmalar kullanır ve saldırganların sahte sertifikalardan yararlanmasına ve trafiği kesmesine izin verebilecek uygun sertifika sabitlemesinden yoksundur. Bu, kullanıcıları kimlik hırsızlığı, finansal sahtekarlık ve yetkisiz gözetime maruz bırakır. Uçtan uca şifreleme (E2EE) veya güçlü TLS protokolleri gibi sağlam şifreleme standartlarının uygulanması gereklidir [3].
7. SQL Enjeksiyon Riskleri ve Sabit Kodlu Anahtarlar: Uygulama ayrıca SQL enjeksiyon riskleriyle karşı karşıyadır ve sert kodlanmış şifreleme anahtarları kullanır ve güvenlik duruşunu daha da zayıflatır. Bu uygulamalar veri ihlalleri ve yetkisiz erişim riskini arttırmaktadır [6].
8. Veri toplama ve gizlilik kaygıları: Deepseek'in uygulaması, meta verileri toplayarak ve kullanıcı davranışını gizlilik politikasında açıklananların ötesinde izleyerek gerektiğinden daha fazla izin toplar. Bu aşırı erişim, yetkisiz veri hasatına ve GDPR ve CCPA gibi gizlilik düzenlemeleriyle çatışmalara yol açabilir [3].
Bu güvenlik açıkları, DeepSeek'in kullanıcı verilerini etkili bir şekilde korumak için güvenlik ve gizlilik sorunlarını ele alma ihtiyacını vurgulamaktadır.
Alıntılar:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-depseek-and-frontier-weasoning-modeller
[3] https://moxso.com/blog/deepseeks-andoid-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-proproov-davave-prevented-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-depe-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-ungovers-isposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-cransmitss-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-ncovers-multiple-cerity-and-privacy-flaws-in-depseek-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-eepseek-ai-app/