Aby zająć się zabezpieczeniami związanymi z wyłączaniem bezpieczeństwa transportu aplikacji (ATS) w DeepSeek, można było wdrożyć kilka alternatywnych środków bezpieczeństwa:
1. Włącz i egzekwuj ATS: Najprostszą alternatywą jest włączenie ATS i zapewnienie, że cała komunikacja między aplikacją a jej usługami zaplecza korzysta z HTTPS. Uniemożliwiłoby to aplikacji wysyłanie poufnych danych nad niezaszyfrowanymi kanałami, znacznie zmniejszając ryzyko ataków man-in-the-The-Middle (2] [4].
2. Wdrożyć kompleksowe szyfrowanie (E2EE): Deepseek mógł wdrożyć E2EE w celu ochrony danych użytkownika przed przechwyceniem i manipulacją. Obejmuje to szyfrowanie danych po stronie klienta przed przesłaniem do serwera, zapewniając, że tylko zamierzony odbiorca może je odszyfrować. Takie podejście zabezpieczy poufne informacje, nawet jeśli dane są przechwycone podczas transmisji [6].
3. Użyj silniejszych algorytmów szyfrowania: Zamiast używać przestarzałych algorytmów szyfrowania, takich jak 3DES, Deepseek mógł przyjąć bardziej bezpieczne i nowoczesne standardy szyfrowania, takie jak AES-256. To znacznie utrudniłoby atakującym i dostęp do danych wrażliwych [4] [6].
4. Przypinanie certyfikatów: Wdrożenie odpowiedniego przypinania certyfikatu pomogłoby zapobiegać atakującym używanie fałszywych certyfikatów w celu przechwytywania ruchu. Obejmuje to osadzenie oczekiwanego certyfikatu SSL/TLS lub klucza publicznego w aplikacji, zapewniając zaufanie tylko komunikacji z oczekiwanym certyfikatem [6].
5. Zaświadczenie o aplikacji mobilnej: Korzystanie z rozwiązania do zaświadczenia aplikacji mobilnej, takiego jak Abour, może zapewnić, że tylko autentyczne, niezmodyfikowane instancje aplikacji mogą połączyć się z interfejsami API Backend. Uniemożliwiłoby to manipulowane lub przepakowane aplikacje przed składaniem nieautoryzowanych żądań API i kradzieży danych użytkownika [2].
6. Bezpieczne przechowywanie danych: DeepSeek powinien zapewnić, że wszystkie dane przechowywane na urządzeniu lub przesyłane na serwerach są szyfrowane i chronione przed nieautoryzowanym dostępem. Obejmuje to stosowanie bezpiecznych mechanizmów przechowywania wrażliwych danych, takich jak hasła i klucze szyfrowania [4] [6].
7. Regularne audyty bezpieczeństwa: Przeprowadzenie regularnych audytów bezpieczeństwa i testowania penetracji pomogłoby wcześnie zidentyfikować luki w zabezpieczeniach, umożliwiając DeepSeek zająć się nimi, zanim staną się głównymi problemami. To proaktywne podejście poprawiłoby ogólną postawę bezpieczeństwa aplikacji [2] [4].
Wdrażając te środki, DeepSeek może znacznie poprawić swoje bezpieczeństwo i skuteczniej chronić dane użytkownika, zmniejszając ryzyko związane z wyłączaniem ATS i innymi lukami w zakresie bezpieczeństwa.
Cytaty:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-lould-have-been-ted-liracco-iudyc
[3] https://www.digitallocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-storisks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-should-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reassing-models