Die Verwendung von hartcodierten Verschlüsselungsschlüssel in Deepseeks Anwendungen stellt mehrere erhebliche Risiken für die Sicherheit und Privatsphäre der Benutzerdaten dar. Hier sind einige der potenziellen Risiken, die mit dieser Praxis verbunden sind:
1. Datenbelastung und Abfangen: Hartcodierte Verschlüsselungsschlüssel können einfach aus dem Quellcode der Anwendung extrahiert werden, sodass nicht autorisierte Parteien auf sensible Daten zugreifen und entschlüsseln können. Dies ist besonders für Deepseek betroffen, da es umfangreiche Benutzer- und Gerätedaten sammelt, einschließlich Tastenanschlagsmustern, die in China auf Server übertragen werden [1] [3] [4]. Die Verwendung veralteter Verschlüsselungsalgorithmen wie 3DEs verschlimmert diese Anfälligkeit weiter, da diese Algorithmen als unsicher sind [1] [3] [9].
2. Mangel an Schlüsselrotation: Sobald festcodierte Schlüssel freigelegt sind, können sie nicht leicht geändert werden. Dies bedeutet, dass selbst wenn die Sicherheitsanfälligkeit entdeckt wird, die Schlüssel beeinträchtigt bleiben, bis die Anwendung aktualisiert wird, was Zeit in Anspruch nehmen kann. Diese Unfähigkeit, Schlüssel zu drehen, erhöht das Anfälligkeitsfenster für Datenverletzungen schnell [2] [8].
3.. In Kombination mit hartgesottenen Verschlüsselungsschlüssel können Angreifer es ermöglichen, auf sensible Benutzeraufzeichnungen zuzugreifen, die in der Datenbank gespeichert sind [1] [4] [7].
4. Nationale Sicherheits- und Datensouveränitätsprobleme: Die Übertragung von Benutzerdaten auf Server, die mit chinesischen staatlichen Unternehmen verbunden sind, wirft Bedenken hinsichtlich der Souveränität und nationaler Sicherheit von Daten auf. Die Beteiligung von Bytedance, der Muttergesellschaft von Tiktok, erschwert diese Probleme aufgrund der chinesischen Datenregierungsführungspraktiken, die möglicherweise eine Überwachung des Haftbefehls umfassen [1] [3] [7].
5. Unsichere Datenspeicherung: Die unsicheren Speicherpraktiken von Deepseek, einschließlich der unsicheren Speicherung von Benutzernamen, Passwörtern und Verschlüsselungsschlüssel, erhöhen Sie das Risiko eines Diebstahls von Anmeldeinformationen. Dies kann zu unbefugtem Zugriff auf Benutzerkonten und weitere Kompromisse bei sensiblen Informationen führen [3] [10].
6. Verhaltensprofilerstellung: Die Sammlung von Tastenanschlagsdynamik und anderen Benutzerverhaltensdaten kann verwendet werden, um detaillierte Benutzerprofile zu erstellen. Dies wirft Datenschutzbedenken auf, insbesondere wenn solche Daten an Unternehmen übertragen werden, die sie für die Verfolgung oder Überwachungszwecke verwenden können [1] [4].
Zusammenfassend erhöht die Verwendung von hartcodierten Verschlüsselungsschlüssel in Deepseeks Anwendungen das Risiko von Datenverletzungen, unbefugtem Zugriff und Verstößen gegen die Datenschutz. Diese Risiken werden durch die umfangreichen Datenerfassungspraktiken der App und ihre Verbindungen zu Unternehmen mit potenziellen Auswirkungen auf die nationale Sicherheit verstärkt.
Zitate:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-peeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%EF%B%bc/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-epseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-leep-peek-at-teepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsersecurity.com/2025/02/experts-flag-security-privacy-risks-in-peepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security---privacy-flaws-in-peepseek-ios-mobile-app/