Az App Transport Security (ATS) letiltásával a DeepSeek letiltásával kapcsolatos biztonsági rések kezelése érdekében számos alternatív biztonsági intézkedést lehetett volna végrehajtani:
1. Az ATS engedélyezése és érvényesítése: A legegyszerűbb alternatíva az ATS engedélyezése és annak biztosítása, hogy az alkalmazás és annak háttér -szolgáltatásai közötti összes kommunikáció HTTPS -t használjon. Ez megakadályozná az alkalmazás számára, hogy érzékeny adatokat küldjön a titkosítatlan csatornákon, jelentősen csökkentve a férfiak (MITM) támadások kockázatát [2] [4].
2. Végezzen el végpontok közötti titkosítást (E2EE): A DeepSeek megvalósíthatta volna az E2EE-t, hogy megvédje a felhasználói adatokat a lehallgatástól és a manipulációtól. Ez magában foglalja az ügyféloldali adatok titkosítását, mielőtt azt a szerverre továbbítja, biztosítva, hogy csak a tervezett fogadó képes visszafejteni. Ez a megközelítés akkor is megóvja az érzékeny információkat, ha az adatokat átvitele során elfogják [6].
3. Használjon erősebb titkosítási algoritmusokat: Az elavult titkosítási algoritmusok, például a 3DES használata helyett a DeepSeek biztonságosabb és modern titkosítási szabványokat fogadhatott el, például az AES-256. Ez sokkal nehezebbé tenné a támadók számára az érzékeny adatok visszafejtését és hozzáférését [4] [6].
4. A tanúsítvány rögzítése: A megfelelő tanúsítvány rögzítése segítené a támadókat abban, hogy hamis tanúsítványokat használjanak a forgalom elfogásához. Ez magában foglalja a várt SSL/TLS tanúsítvány vagy nyilvános kulcs beágyazását az alkalmazásba, biztosítva, hogy csak a várt tanúsítvánnyal rendelkező kommunikáció megbízható legyen [6].
5. Mobilalkalmazás -igazolás: A mobilalkalmazás -igazolási megoldás, mint például a CNOVEOV használata biztosíthatja, hogy az alkalmazás csak valódi, módosítatlan példányai csatlakozhassanak a háttér -API -khoz. Ez megakadályozná, hogy a megsértett vagy újracsomagolt alkalmazások jogosulatlan API -kérések készítésében és felhasználói adatok ellopásában legyenek [2].
6. Biztonságos adattárolás: A DeepSeek -nek gondoskodnia kell arról, hogy az eszközön tárolt vagy a szerverekre továbbított összes adat titkosítva és védett legyen az illetéktelen hozzáférés ellen. Ez magában foglalja a biztonságos tárolási mechanizmusok használatát érzékeny adatokhoz, például jelszavakhoz és titkosítási kulcsokhoz [4] [6].
7. Rendszeres biztonsági ellenőrzések: A rendszeres biztonsági ellenőrzések és a penetrációs tesztek elvégzése elősegítené a sebezhetőségek korai azonosítását, lehetővé téve a DeepSeek számára, hogy kezelje őket, mielőtt azok jelentős kérdésekké válnának. Ez a proaktív megközelítés javítaná az alkalmazás általános biztonsági testtartását [2] [4].
Ezen intézkedések végrehajtásával a DeepSeek jelentősen javíthatja biztonságát és hatékonyabban megvédheti a felhasználói adatait, csökkentve az ATS és más biztonsági rések letiltásával kapcsolatos kockázatokat.
Idézetek:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-all-could-heen-reen-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-droid-app-flaws-privacy-drisks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-should-know-putable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reason-models