Для решения уязвимостей безопасности, связанных с отключением безопасности транспорта приложений (ATS) в DeepSeek, можно было бы осуществить несколько альтернативных мер безопасности:
1. Включение и обеспечение соблюдения ATS: Наиболее простой альтернативой является включение ATS и гарантировать, что все связи между приложением и его бэкэнд -службами используют HTTPS. Это помешало бы приложению отправлять конфиденциальные данные по незашифрованным каналам, значительно снижая риск атак человека в среднем (MITM) [2] [4].
2. Реализовать сквозное шифрование (E2EE): DeepSeek мог бы реализовать E2EE для защиты пользовательских данных от перехвата и манипуляции. Это включает в себя шифрование данных на стороне клиента до того, как они будут переданы на сервер, гарантируя, что только предполагаемый получатель может расшифровать его. Этот подход защитит конфиденциальную информацию, даже если данные перехватываются во время передачи [6].
3. Используйте более прочные алгоритмы шифрования: вместо использования устаревших алгоритмов шифрования, таких как 3DES, DeepSeek мог бы принять более безопасные и современные стандарты шифрования, такие как AES-256. Это усложнило бы, что злоумышленникам расшифровывает и получал доступ к конфиденциальным данным [4] [6].
4. Сертификат. Закрепление: реализация надлежащего закрепления сертификата поможет предотвратить использование фальшивых сертификатов для перехвата трафика. Это включает в себя внедрение ожидаемого сертификата SSL/TLS или открытого ключа в приложение, обеспечивая доверие только к ожидаемому сертификату [6].
5. Аттестация мобильного приложения: использование решения для аттестации мобильного приложения, такого как Oupv, может гарантировать, что только подлинные, немодифицированные экземпляры приложения могут подключаться к бэкэнд API. Это помешало бы подделанным или переупакованным приложениям делать несанкционированные запросы API и красть пользовательских данных [2].
6. Безопасное хранилище данных: DeepSeek должен гарантировать, что все данные, хранящиеся на устройстве или передаваемые на серверы, зашифрованы и защищены от несанкционированного доступа. Это включает в себя использование безопасных механизмов хранения для конфиденциальных данных, таких как пароли и клавиши шифрования [4] [6].
7. Регулярные аудиты безопасности: проведение регулярных аудитов безопасности и тестирование на проникновение поможет выявить уязвимости на раннем этапе, что позволит DeepSeek решать их до того, как они станут основными проблемами. Этот проактивный подход улучшит общую позицию в области безопасности приложения [2] [4].
Внедряя эти меры, DeepSeek может значительно улучшить свою безопасность и защитить пользовательские данные более эффективно, снижая риски, связанные с отключением ОТС и других уязвимостей безопасности.
Цитаты:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-faulures-how-all-could-have-been-ted-t-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternative
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-should-coning-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-resishing-models