Het gebruik van hardcode coderingssleutels in de toepassingen van DeepSeek vormt verschillende belangrijke risico's voor gebruikersbeveiliging en privacy van gebruikers. Hier zijn enkele van de potentiële risico's die aan deze praktijk zijn verbonden:
1. Blootstelling en onderschepping van gegevens: hardgecodeerde coderingssleutels kunnen eenvoudig worden geëxtraheerd uit de broncode van de applicatie, waardoor ongeautoriseerde partijen toegang tot en decodeer zijn. Dit is met name zorgwekkend voor Deepseek, omdat het uitgebreide gebruikers- en apparaatgegevens verzamelt, inclusief toetsaanslagpatronen, die worden verzonden naar servers in China [1] [3] [4]. Het gebruik van verouderde coderingsalgoritmen zoals 3DES verergert deze kwetsbaarheid verder, omdat bekend is dat deze algoritmen onzeker zijn [1] [3] [9].
2. Gebrek aan belangrijke rotatie: zodra hardgecodeerde toetsen zijn blootgesteld, kunnen ze niet gemakkelijk worden gewijzigd. Dit betekent dat zelfs als de kwetsbaarheid wordt ontdekt, de sleutels gecompromitteerd blijven totdat de applicatie is bijgewerkt, wat tijd kan kosten. Dit onvermogen om sleutels te roteren verhoogt snel het venster van kwetsbaarheid voor datalekken [2] [8].
3. SQL -injectie en databaserisico's: de toepassingen van Deepseek worden ook geconfronteerd met SQL -injectierisico's, waardoor aanvallers kunnen manipuleren van databasevragen. In combinatie met hardgecodeerde coderingssleutels, kan dit aanvallers toegang hebben tot en de gevoelige gebruikersrecords in de database kunnen openen en decoderen [1] [4] [7].
4. Nationale veiligheids- en gegevens soevereiniteit zorgen: de overdracht van gebruikersgegevens naar servers die gekoppeld zijn aan Chinese entiteiten van de staat, roept bezorgdheid uit over data-soevereiniteit en nationale veiligheid. De betrokkenheid van bytedance, het moederbedrijf van Tiktok, bemoeilijkt deze kwesties verder vanwege de China's Data Governance -praktijken, waaronder gerechtvaardigde toezicht [1] [3] [7].
5. Onzekere gegevensopslag: de onveilige opslagpraktijken van Deepseek, inclusief de onzekere opslag van gebruikersnamen, wachtwoorden en coderingssleutels, verhogen het risico op diefstal van referentie. Dit kan leiden tot ongeoorloofde toegang tot gebruikersaccounts en een compromis van gevoelige informatie [3] [10].
6. Gedragsprofilering: het verzamelen van toetsaanslagdynamiek en andere gegevens van gebruikersgedrag kunnen worden gebruikt om gedetailleerde profielen van gebruikers te bouwen. Dit roept de privacyproblemen op, vooral wanneer dergelijke gegevens worden verzonden naar entiteiten die deze kunnen gebruiken voor tracking- of bewakingsdoeleinden [1] [4].
Samenvattend verhoogt het gebruik van hardcode coderingssleutels in Deepseek's toepassingen het risico op datalekken, ongeautoriseerde toegang en privacyovertredingen aanzienlijk verhoogt. Deze risico's worden verergerd door de uitgebreide gegevensverzamelingspraktijken van de app en de verbindingen met entiteiten met potentiële implicaties in de nationale veiligheid.
Citaten:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-us-of-hard-codeced-cryptographic-key%ef%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ifen/
[4] https://www.bankinfosecurity.com/Security-SeSearchers-Warn-new-risks-in-Deepseek-AIP-A-27486
[5] https://breachforce.net/exploiting- exposed-encryption-eys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-codeed-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/