Brugen af hardkodede krypteringstaster i Deepseeks applikationer udgør flere betydelige risici for brugerdatasikkerhed og privatliv. Her er nogle af de potentielle risici forbundet med denne praksis:
1. Dataeksponering og aflytning: Hardcoded -krypteringsnøgler kan let udvindes fra applikationens kildekode, hvilket giver uautoriserede parter adgang til og dekrypter følsomme data. Dette vedrører især Deepseek, da det indsamler omfattende bruger- og enhedsdata, herunder tastetrykmønstre, der overføres til servere i Kina [1] [3] [4]. Brugen af forældede krypteringsalgoritmer som 3DE'er forværrer denne sårbarhed yderligere, da disse algoritmer vides at være usikre [1] [3] [9].
2. Mangel på nøglerotation: Når hardkodede nøgler er udsat, kan de ikke let ændres. Dette betyder, at selv hvis sårbarheden opdages, forbliver nøglerne kompromitteret, indtil applikationen er opdateret, hvilket kan tage tid. Denne manglende evne til at rotere nøgler øger hurtigt vinduet med sårbarhed for dataovertrædelser [2] [8].
3. SQL -injektion og database risici: Deepseeks applikationer står også over for SQL -injektionsrisici, som kan give angribere mulighed for at manipulere databaseforespørgsler. Når det kombineres med hardkodede krypteringstaster, kan dette give angribere adgang til og dekrypter følsomme brugerposter, der er gemt i databasen [1] [4] [7].
4. National Security and Data Sovereignity Bekymringer: Transmission af brugerdata til servere, der er knyttet til kinesiske statsejede enheder, rejser bekymring for datasuverænitet og national sikkerhed. Bytedans involvering, moderselskabet i Tiktok, komplicerer yderligere disse spørgsmål på grund af Kinas datastyringspraksis, som kan omfatte garantiel overvågning [1] [3] [7].
5. Usikker datalagring: Deepseeks usikre opbevaringspraksis, herunder usikker opbevaring af brugernavne, adgangskoder og krypteringstaster, øger risikoen for legitimationstyveri. Dette kan føre til uautoriseret adgang til brugerkonti og yderligere kompromittere følsomme oplysninger [3] [10].
6. Adfærdsprofilering: Indsamlingen af tastetryk -dynamik og andre brugeradfærdsdata kan bruges til at opbygge detaljerede profiler af brugere. Dette rejser bekymringer for privatlivets fred, især når sådanne data overføres til enheder, der kan bruge dem til sporing eller overvågningsformål [1] [4].
Sammenfattende øger brugen af hardkodede krypteringstaster i Deepseeks applikationer markant risikoen for dataovertrædelser, uautoriseret adgang og overtrædelse af privatlivets fred. Disse risici forværres af appens omfattende dataindsamlingspraksis og dens forbindelser til enheder med potentielle nationale sikkerhedsmæssige konsekvenser.
Citater:
[Jeg
)
)
)
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-ussing-deeksek/
)
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
)
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure- uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/