Para abordar as vulnerabilidades de segurança associadas à desativação de segurança de transporte de aplicativos (ATS) na Deepseek, várias medidas de segurança alternativas poderiam ter sido implementadas:
1. Ativar e fazer cumprir ATS: a alternativa mais direta é ativar o ATS e garantir que todas as comunicações entre o aplicativo e seus serviços de back -end usem HTTPs. Isso impediria que o aplicativo enviasse dados confidenciais sobre canais não criptografados, reduzindo significativamente o risco de ataques de homem no meio (MITM) [2] [4].
2. Implementar a criptografia de ponta a ponta (E2EE): Deepseek poderia ter implementado o E2EE para proteger os dados do usuário da interceptação e manipulação. Isso envolve a criptografia de dados no lado do cliente antes de serem transmitidos ao servidor, garantindo que apenas o destinatário pretendido possa descriptografá-lo. Essa abordagem salvaguardaria informações sensíveis ao mesmo tempo, mesmo que os dados sejam interceptados durante a transmissão [6].
3. Use algoritmos de criptografia mais fortes: em vez de usar algoritmos de criptografia desatualizados como o 3DES, o Deepseek poderia ter adotado padrões de criptografia mais seguros e modernos, como o AES-256. Isso tornaria muito mais difícil para os invasores descriptografar e acessar dados sensíveis [4] [6].
4. Certificado Pinning: A implementação da fixação adequada do certificado ajudaria a impedir que os atacantes usem certificados falsos para interceptar o tráfego. Isso envolve incorporar o certificado ou chave pública esperada do SSL/TLS no aplicativo, garantindo que apenas as comunicações com o certificado esperado sejam confiáveis [6].
5. APSTATIVA DE APP MÓVEL: O uso de uma solução de atestado de aplicativo móvel como a APGEV poderia garantir que apenas instâncias genuínas e não modificadas do aplicativo possam se conectar às APIs de back -end. Isso impediria que os aplicativos adulterados ou reembalados façam solicitações de API não autorizadas e roubarem dados do usuário [2].
6. Armazenamento de dados seguro: Deepseek deve garantir que todos os dados armazenados no dispositivo ou transmitidos aos servidores sejam criptografados e protegidos contra o acesso não autorizado. Isso inclui o uso de mecanismos de armazenamento seguro para dados confidenciais, como senhas e chaves de criptografia [4] [6].
7. Auditorias regulares de segurança: a realização de auditorias regulares de segurança e testes de penetração ajudaria a identificar vulnerabilidades desde o início, permitindo que a DeepSeek as resolva antes que elas se tornem grandes questões. Essa abordagem proativa melhoraria a postura geral de segurança do aplicativo [2] [4].
Ao implementar essas medidas, a DeepSeek poderia melhorar significativamente sua segurança e proteger os dados do usuário com mais eficiência, reduzindo os riscos associados à desativação de ATS e outras vulnerabilidades de segurança.
Citações:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-therd-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-ow-l-could-have-ben-tted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-riscs
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-would-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security--in-deepseek-and-other-frontier-reasoning-models