For å adressere sikkerhetssårbarhetene knyttet til deaktivering av App Transport Security (ATS) på DeepSeek, kunne flere alternative sikkerhetstiltak blitt iverksatt:
1. Aktiver og håndhever ATS: Det mest enkle alternativet er å aktivere ATS og sikre at all kommunikasjon mellom appen og dens backend -tjenester bruker HTTP -er. Dette vil forhindre at appen sender sensitive data over ukrypterte kanaler, noe som reduserer risikoen for angrep på MITM (MITM) betydelig [2] [4].
2. Implementere ende-til-ende-kryptering (E2EE): DeepSeek kunne ha implementert E2EE for å beskytte brukerdata mot avskjæring og manipulering. Dette innebærer å kryptere data på klientsiden før den overføres til serveren, og sikrer at bare den tiltenkte mottakeren kan dekryptere den. Denne tilnærmingen vil ivareta sensitiv informasjon selv om dataene blir oppfanget under overføring [6].
3. Bruk sterkere krypteringsalgoritmer: I stedet for å bruke utdaterte krypteringsalgoritmer som 3DES, kunne DeepSeek ha tatt i bruk mer sikre og moderne krypteringsstandarder som AES-256. Dette vil gjøre det mye vanskeligere for angripere å dekryptere og få tilgang til sensitive data [4] [6].
4. Sertifikatpinning: Implementering av riktig sertifikatpinning vil bidra til å forhindre at angripere bruker falske sertifikater for å avskjære trafikk. Dette innebærer å legge inn forventet SSL/TLS -sertifikat eller offentlig nøkkel i appen, noe som sikrer at bare kommunikasjon med forventet sertifikat er klarert [6].
5. Attestasjon av mobilapp: Å bruke en attestasjonsløsning for mobilapper som Appleov kan sikre at bare ekte, umodifiserte forekomster av appen kan koble seg til backend API -er. Dette vil forhindre at manipulerte eller ompakkede apper lager uautoriserte API -forespørsler og stjeler brukerdata [2].
6. Sikker datalagring: DeepSeek skal sikre at alle data som er lagret på enheten eller overført til servere er kryptert og beskyttet mot uautorisert tilgang. Dette inkluderer bruk av sikre lagringsmekanismer for sensitive data som passord og krypteringsnøkler [4] [6].
7. Vanlige sikkerhetsrevisjoner: Å gjennomføre regelmessige sikkerhetsrevisjoner og penetrasjonstesting vil bidra til å identifisere sårbarheter tidlig, slik at DeepSeek kan ta dem opp før de blir store problemer. Denne proaktive tilnærmingen vil forbedre den generelle sikkerhetsstillingen til appen [2] [4].
Ved å implementere disse tiltakene, kan DeepSeek forbedre sikkerheten betydelig og beskytte brukerdata mer effektivt, og redusere risikoen forbundet med deaktiverende ATS og andre sikkerhetsproblemer.
Sitasjoner:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-depseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-sikkerhets-failures-how-all-culd-have-been-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-ensitive-bruker.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeeks-android-app-flaws-privacy-sisss
[7] https://www.linkedin.com/pulse/deepseek-what-organisations-should-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/eValuating-scurity-Sisk-in-depeSeek-and-oToRther-frontier-reasoning-Models