Для вирішення вразливості безпеки, пов'язаних з відключенням безпеки транспорту додатків (ATS) в DeepSeek, можна було здійснити кілька альтернативних заходів безпеки:
1. Увімкнути та застосувати АТС: Найпростіша альтернатива - це забезпечення ОВС та забезпечення того, щоб усі комунікації між додатком та його бекендними послугами використовують HTTPS. Це не дозволить програмі надсилати конфіденційні дані через незашифровані канали, що значно знижує ризик виникнення атаки людини (MITM) [2] [4].
2. Впровадити шифрування кінця до кінця (E2EE): DeepSeek міг реалізувати E2EE для захисту даних користувачів від перехоплення та маніпуляції. Це передбачає шифрування даних на стороні клієнта до того, як вони будуть передані на сервер, гарантуючи, що лише призначений одержувач може розшифрувати його. Такий підхід забезпечить конфіденційну інформацію, навіть якщо дані перехоплені під час передачі [6].
3. Використовуйте більш сильні алгоритми шифрування: замість використання застарілих алгоритмів шифрування, таких як 3DES, DeepSeek міг би прийняти більш безпечні та сучасні стандарти шифрування, такі як AES-256. Це зробить зловмисникам набагато складніше розшифрувати та отримати доступу до конфіденційних даних [4] [6].
. Це передбачає вбудовування очікуваного сертифіката SSL/TLS або відкритого ключа в додаток, гарантуючи, що довіряють лише комунікації з очікуваним сертифікат [6].
5. Атресація мобільних додатків: Використання мобільного рішення для атестації, як Actroov, може забезпечити, щоб лише справжні, немодифіковані екземпляри програми можуть підключитися до Backend API. Це не дозволило б підробленим або перепакувати додатки робити несанкціоновані запити API та викрасти дані користувачів [2].
6. Захищене зберігання даних: DeepSeek повинен переконатися, що всі дані, що зберігаються на пристрої, або передані на сервери, зашифровані та захищені від несанкціонованого доступу. Сюди входить використання безпечних механізмів зберігання для чутливих даних, таких як паролі та клавіші шифрування [4] [6].
7. Регулярні аудиту безпеки: проведення регулярних аудитів безпеки та тестування на проникнення допоможе визначити вразливості на початку, що дозволило DeepSeek вирішити їх, перш ніж вони стануть основними проблемами. Цей проактивний підхід покращить загальну позицію безпеки програми [2] [4].
Реалізуючи ці заходи, DeepSeek може значно покращити свою безпеку та більш ефективно захистити дані користувачів, зменшуючи ризики, пов'язані з відключенням АТС та іншими вразливими місцями безпеки.
Цитати:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-could-have-been-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternative
[4] https://thehackernews.com/2025/02/deepseek-app-ransmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-should-know --reputable-ai-options-6nzse
4