Per affrontare le vulnerabilità della sicurezza associate alla disabilitazione della sicurezza dei trasporti delle app (ATS) in DeepSeek, avrebbero potuto essere implementate diverse misure di sicurezza alternative:
1. Abilitare e applicare ATS: l'alternativa più semplice è abilitare ATS e garantire che tutte le comunicazioni tra l'app e i suoi servizi di backend utilizzino HTTPS. Ciò impedirebbe all'app di inviare dati sensibili rispetto ai canali non crittografati, riducendo significativamente il rischio di attacchi man-in-the-middle (MITM) [2] [4].
2. Implementare la crittografia end-to-end (E2EE): DeepSeek avrebbe potuto implementare E2EE per proteggere i dati degli utenti dall'intercettazione e dalla manipolazione. Ciò comporta la crittografia dei dati sul lato client prima che vengano trasmessi al server, garantendo che solo il destinatario previsto possa decrittarli. Questo approccio salvaguarebbe le informazioni sensibili anche se i dati vengono intercettati durante la trasmissione [6].
3. Usa algoritmi di crittografia più forti: invece di utilizzare algoritmi di crittografia obsoleti come 3DE, DeepSeek avrebbe potuto adottare standard di crittografia più sicuri e moderni come AES-256. Ciò renderebbe molto più difficile per gli aggressori decrittografare e accedere ai dati sensibili [4] [6].
4. Pinning del certificato: l'implementazione del pinning del certificato adeguato aiuterebbe a impedire agli aggressori di utilizzare certificati falsi per intercettare il traffico. Ciò comporta l'integrazione del certificato SSL/TLS previsto o della chiave pubblica nell'app, garantendo che siano attendite solo le comunicazioni con il certificato previsto [6].
5. Attestazione dell'app mobile: l'utilizzo di una soluzione di attestazione dell'app mobile come Approov potrebbe garantire che solo istanze autentiche e non modificate dell'app possano connettersi alle API backend. Ciò impedirebbe alle app manomesse o riconfezionate di effettuare richieste API non autorizzate e di rubare i dati degli utenti [2].
6. Archiviazione dei dati sicura: DeepSeek dovrebbe garantire che tutti i dati archiviati sul dispositivo o trasmessi ai server siano crittografati e protetti dall'accesso non autorizzato. Ciò include l'utilizzo di meccanismi di archiviazione sicuri per dati sensibili come password e chiavi di crittografia [4] [6].
7. Audit di sicurezza regolari: condurre audit di sicurezza regolari e test di penetrazione aiuterebbe a identificare le vulnerabilità all'inizio, consentendo a Deep -Week di affrontarli prima di diventare problemi importanti. Questo approccio proattivo migliorerebbe la posizione di sicurezza complessiva dell'app [2] [4].
Implementando queste misure, DeepSeek potrebbe migliorare significativamente la propria sicurezza e proteggere i dati degli utenti in modo più efficace, riducendo i rischi associati alla disabilitazione di ATS e altre vulnerabilità di sicurezza.
Citazioni:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-could-have-been-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-hould-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-prisk-in-deepseek-and-other-frontier-ragioning-models