Použití pevně kódovaných šifrovacích klíčů v aplikacích DeepSeek představuje několik významných rizik pro zabezpečení uživatelských dat a soukromí. Zde jsou některá z potenciálních rizik spojených s touto praxí:
1. Expozice a zachycení dat: Hardcoded Encryption Keys lze snadno extrahovat ze zdrojového kódu aplikace, což umožňuje neoprávněným stranám přístup a dešifrování citlivých dat. To se týká zejména pro Deepseek, protože shromažďuje rozsáhlá data uživatelů a zařízení, včetně vzorů stisknutí kláves, které jsou přenášeny na servery v Číně [1] [3] [4]. Použití zastaralých šifrovacích algoritmů, jako je 3DE, dále zhoršuje tuto zranitelnost, protože je známo, že tyto algoritmy jsou nejisté [1] [3] [9].
2. Nedostatek rotace klíčů: Jakmile jsou vystaveny pevné klíče, nelze je snadno změnit. To znamená, že i když je zjištěna zranitelnost, klíče zůstávají ohroženy, dokud není aplikace aktualizována, což může trvat čas. Tato neschopnost otáčet klíče rychle zvyšuje okno zranitelnosti pro porušení dat [2] [8].
3. SQL Injection and Database Risks: DeepSeekovy aplikace také čelí rizikům SQL vstřikováním, což může útočníkům umožnit manipulovat s databázovými dotazy. V kombinaci s pevnými kódovanými šifrovacími klíči by to mohlo útočníkům umožnit přístup a dešifrovat citlivé uživatelské záznamy uložené v databázi [1] [4] [7].
4. Národní bezpečnost a datová svrchovanost obavy: Přenos uživatelských dat na servery spojené s čínskými státními subjekty vyvolávají obavy ohledně svrchovanosti dat a národní bezpečnosti. Zapojení Bytedance, mateřská společnost Tiktoku, dále komplikuje tyto problémy v důsledku čínských postupů správy dat, které mohou zahrnovat dohled bez rozkazu [1] [3] [7].
5. Nejisté ukládání dat: Nejisté úložiště DeepSeek, včetně nejistého ukládání uživatelských jmen, hesel a šifrovacích klíčů, zvyšují riziko krádeže pověření. To může vést k neoprávněnému přístupu k uživatelským účtům a dalšímu kompromisu citlivé informace [3] [10].
6. Profilování chování: Sběr dynamiky kláves a další údaje o chování uživatelů lze použít k vytvoření podrobných profilů uživatelů. To vyvolává obavy o ochranu osobních údajů, zejména pokud jsou taková data přenášena subjektům, které je mohou použít pro účely sledování nebo sledování [1] [4].
Stručně řečeno, použití pevně kódovaných šifrovacích klíčů v aplikacích DeepSeek výrazně zvyšuje riziko porušení dat, neoprávněného přístupu a porušení ochrany osobních údajů. Tato rizika jsou umocněna rozsáhlými postupy sběru dat aplikace a jejích spojením s subjekty s potenciálními důsledky národní bezpečnosti.
Citace:
[1] https://ssoJet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-VulnerabIlities in-deeepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deeepseek-app-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dagers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsosonsecurity.com/2025/02/experts-flag-sirity-risks-in-seepseek-ap-app/
[10] https://www.nowscure.com/blog/2025/02/06/nowsEcure-Uncovers--security-and-privacy-flaws-in-deepseek-mobile-app/