Για την αντιμετώπιση των τρωτών σημείων ασφαλείας που σχετίζονται με την απενεργοποίηση της ασφάλειας των μεταφορών εφαρμογών (ATS) στο Deepseek, θα μπορούσαν να εφαρμοστούν αρκετά εναλλακτικά μέτρα ασφαλείας:
1. Ενεργοποίηση και επιβολή ATS: Η πιο απλή εναλλακτική λύση είναι να ενεργοποιήσετε το ATS και να διασφαλίσετε ότι όλες οι επικοινωνίες μεταξύ της εφαρμογής και των υπηρεσιών backend χρησιμοποιούν HTTPs. Αυτό θα εμπόδιζε την εφαρμογή να στέλνει ευαίσθητα δεδομένα σε μη κρυπτογραφημένα κανάλια, μειώνοντας σημαντικά τον κίνδυνο επιθέσεων Man-in-the-Middle (MITM) [2] [4].
2. Εφαρμογή κρυπτογράφησης από άκρο σε άκρο (E2EE): Το DeepSeek θα μπορούσε να εφαρμόσει το E2EE για την προστασία των δεδομένων των χρηστών από την παρακολούθηση και τη χειραγώγηση. Αυτό περιλαμβάνει την κρυπτογράφηση δεδομένων σχετικά με την πλευρά του πελάτη πριν μεταδοθεί στο διακομιστή, εξασφαλίζοντας ότι μόνο ο προβλεπόμενος παραλήπτης μπορεί να αποκρυπτογραφήσει. Αυτή η προσέγγιση θα διασφαλίζει τις ευαίσθητες πληροφορίες, ακόμη και αν τα δεδομένα παρεμποδίζονται κατά τη διάρκεια της μετάδοσης [6].
3. Χρησιμοποιήστε ισχυρότερους αλγόριθμους κρυπτογράφησης: Αντί να χρησιμοποιείτε παρωχημένους αλγόριθμους κρυπτογράφησης όπως 3DEs, η DeepSeek θα μπορούσε να υιοθετήσει πιο ασφαλή και σύγχρονα πρότυπα κρυπτογράφησης όπως το AES-256. Αυτό θα καθιστούσε πολύ πιο δύσκολο για τους επιτιθέμενους να αποκρυπτογραφήσουν και να έχουν πρόσβαση σε ευαίσθητα δεδομένα [4] [6].
4. ΠΙΣΤΟΠΟΙΗΣΗ ΠΙΣΤΟΠΟΙΗΣΗΣ: Η εφαρμογή της κατάλληλης πρόσδεσης πιστοποιητικών θα βοηθήσει να εμποδίσει τους εισβολείς να χρησιμοποιούν ψεύτικα πιστοποιητικά για την παρακολούθηση της κυκλοφορίας. Αυτό περιλαμβάνει την ενσωμάτωση του αναμενόμενου πιστοποιητικού SSL/TLS ή του δημόσιου κλειδιού στην εφαρμογή, εξασφαλίζοντας ότι είναι αξιόπιστες μόνο οι επικοινωνίες με το αναμενόμενο πιστοποιητικό [6].
5. Βεβόρευση εφαρμογής για κινητά: Η χρήση μιας λύσης βεβαίωσης εφαρμογής για κινητά, όπως το AT APOV, θα μπορούσε να εξασφαλίσει ότι μόνο οι γνήσιες, μη τροποποιημένες περιπτώσεις της εφαρμογής μπορούν να συνδεθούν με API backend. Αυτό θα εμπόδιζε τις παραβιάσεις ή επανασυσκευασμένες εφαρμογές να κάνουν μη εξουσιοδοτημένα αιτήματα API και να κλέβουν δεδομένα χρήστη [2].
6. Ασφαλής αποθήκευση δεδομένων: Το DeepSeeek θα πρέπει να διασφαλίσει ότι όλα τα δεδομένα που είναι αποθηκευμένα στη συσκευή ή μεταδίδονται σε διακομιστές κρυπτογραφούνται και προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Αυτό περιλαμβάνει τη χρήση ασφαλών μηχανισμών αποθήκευσης για ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης και πλήκτρα κρυπτογράφησης [4] [6].
7. Οι τακτικοί έλεγχοι ασφαλείας: η διεξαγωγή τακτικών ελέγχων ασφαλείας και δοκιμών διείσδυσης θα βοηθούσε στον εντοπισμό των τρωτών σημείων νωρίς, επιτρέποντας στο Deepseek να τους αντιμετωπίσει πριν γίνουν σημαντικά ζητήματα. Αυτή η προληπτική προσέγγιση θα ενισχύσει τη συνολική στάση ασφαλείας της εφαρμογής [2] [4].
Με την εφαρμογή αυτών των μέτρων, η Deepseek θα μπορούσε να βελτιώσει σημαντικά την ασφάλεια και να προστατεύσει τα δεδομένα των χρηστών αποτελεσματικότερα, μειώνοντας τους κινδύνους που σχετίζονται με την απενεργοποίηση των ATS και άλλων τρωτών σημείων ασφαλείας.
Αναφορές:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-could-have-been-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-nisks
[7] https://www.linkedin.com/pulse/deepseek-what-organization-should- know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reasoning-models