DeepSeek Android应用程序已被识别出一些重要的安全漏洞,对用户构成了巨大风险。这是特定漏洞及其含义:
1。无抵押网络配置:该应用程序缺乏适当的网络安全措施,使其非常容易受到中间人(MITM)攻击的影响。当用户通过公共Wi-Fi或不信任的网络连接时,攻击者可以拦截和操纵数据,可能窃取登录凭据,个人消息和付款详细信息。为了减轻这种情况,DeepSeek可以使用HST实现HTTP,并使用SSL固定来验证服务器证书[1]。
2。没有SSL验证或证书固定:DeepSeek无法验证SSL证书,因此很容易受到模拟攻击的影响。黑客可以模仿可信赖的服务器并拦截敏感信息,例如登录凭据和个人数据。实施SSL证书固定和严格的SSL验证协议可以解决此问题[1]。
3。根检测弱:该应用程序的无效根检测允许攻击者访问绕过安全控制并提取敏感数据的攻击者。扎根设备特别容易受到恶意软件和高级网络攻击的影响。通过高级安全检查加强根部检测机制,并集成了Safety Net等第三方库可以提高安全性[1]。
4。对Strandhogg漏洞的敏感性:DeepSeek容易受到Strandhogg漏洞的影响,该漏洞使恶意应用程序能够劫持合法的应用程序任务,显示虚假的登录屏幕以窃取用户凭据。这可能导致网络钓鱼和身份盗窃。通过改进的安全补丁和实施严格的任务亲和力设置将应用更新到针对较新的Android版本的针对新的Android版本可以降低此风险[1]。
5。暴露于Janus漏洞:该应用程序暴露于Janus漏洞中,允许攻击者在不破坏其数字签名的情况下修改应用程序的APK文件,从而实现恶意软件注入。使用Google Play应用程序签名实施应用程序完整性检查以及使用Android应用程序签名可以防止未经授权的修改[1]。
6。弱加密和隐私风险:该应用使用弱加密机制,使用户数据易受拦截。它采用过时的加密算法,缺乏适当的证书固定,这可以使攻击者可以利用伪造的证书并拦截流量。这使用户暴露了身份盗用,财务欺诈和未经授权的监视。必须实施强大的加密标准(例如端到端加密(E2EE)或强大的TLS协议)[3]。
7。SQL注入风险和硬编码键:该应用程序还面临SQL注入风险,并使用了硬编码的加密密钥,进一步削弱了其安全姿势。这些实践增加了数据泄露和未经授权访问的风险[6]。
8.数据收集和隐私问题:DeepSeek的应用程序收集的权限超出了必要的权限,收集元数据并潜在地跟踪用户行为超出其隐私政策中所披露的内容。这种过度可能导致未经授权的数据收集,并与GDPR和CCPA等隐私法规发生冲突[3]。
这些漏洞凸显了DeepSeek需要解决其安全性和隐私问题以有效保护用户数据的必要性。
引用:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluation-security-risk-in--in-deepseek-and-there-frontier-ronsoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy危险
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-could-pould-the-the-the-the-damage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[7] https://www.wiz.io/blog/wiz-research-uncovers-xend-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-security-and-privacy-flaws-in-deepseek-ios-ios-ios-mobile-app/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/