Η χρήση των πλήκτρων κρυπτογράφησης με σκληρό κώδικα στις εφαρμογές της DeepSeeek δημιουργεί αρκετούς σημαντικούς κινδύνους για την ασφάλεια των δεδομένων και την ιδιωτική ζωή των χρηστών. Ακολουθούν μερικοί από τους πιθανούς κινδύνους που σχετίζονται με αυτήν την πρακτική:
1. Έκθεση και παρακολούθηση δεδομένων: Τα πλήκτρα κρυπτογράφησης με σκληρό κώδικα μπορούν εύκολα να εξαχθούν από τον πηγαίο κώδικα της εφαρμογής, επιτρέποντας στα μη εξουσιοδοτημένα μέρη να έχουν πρόσβαση και να αποκρυπτογραφούν ευαίσθητα δεδομένα. Αυτό αφορά ιδιαίτερα για το Deepseek, καθώς συλλέγει εκτεταμένα δεδομένα χρήστη και συσκευών, συμπεριλαμβανομένων των μοτίβων πληκτρολόγησης, τα οποία μεταδίδονται σε διακομιστές στην Κίνα [1] [3] [4]. Η χρήση ξεπερασμένων αλγορίθμων κρυπτογράφησης, όπως το 3DES, επιδεινώνει περαιτέρω αυτή την ευπάθεια, καθώς αυτοί οι αλγόριθμοι είναι γνωστό ότι είναι ανασφαλείς [1] [3] [9].
2. Έλλειψη βασικής περιστροφής: Μόλις εκτίθενται τα πλήκτρα με σκληρό κώδικα, δεν μπορούν εύκολα να αλλάξουν. Αυτό σημαίνει ότι ακόμη και αν ανακαλυφθεί η ευπάθεια, τα κλειδιά παραμένουν συμβιβασμένα μέχρι να ενημερωθεί η εφαρμογή, γεγονός που μπορεί να πάρει χρόνο. Αυτή η αδυναμία περιστροφής των κλειδιών αυξάνει γρήγορα το παράθυρο της ευπάθειας για παραβιάσεις δεδομένων [2] [8].
3. Όταν συνδυάζεται με πλήκτρα κρυπτογράφησης με σκληρό κωδικοποιημένο κώδικα, αυτό θα μπορούσε να επιτρέψει στους εισβολείς να έχουν πρόσβαση και να αποκρυπτογραφούν ευαίσθητα αρχεία χρήστη που είναι αποθηκευμένα στη βάση δεδομένων [1] [4] [7].
4. Εθνική Ασφάλεια και Δεδομένα Κυριαρχία: Η μετάδοση των δεδομένων των χρηστών σε διακομιστές που συνδέονται με τις κινεζικές κρατικές οντότητες εγείρει ανησυχίες σχετικά με την κυριαρχία των δεδομένων και την εθνική ασφάλεια. Η συμμετοχή της ByTeDance, της μητρικής εταιρείας του Tiktok, περιπλέκει περαιτέρω αυτά τα ζητήματα λόγω των πρακτικών διακυβέρνησης των δεδομένων της Κίνας, οι οποίες μπορεί να περιλαμβάνουν επιτήρηση χωρίς εγγυήσεις [1] [3] [7].
5. Ασφαλής αποθήκευση δεδομένων: Οι ανασφαλείς πρακτικές αποθήκευσης της DeepSeeek, συμπεριλαμβανομένης της ανασφαλούς αποθήκευσης των ονομάτων χρηστών, των κωδικών πρόσβασης και των πλήκτρων κρυπτογράφησης, αυξάνουν τον κίνδυνο κλοπής διαπιστευτηρίων. Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς χρηστών και να συμβιβαστεί περαιτέρω ευαίσθητες πληροφορίες [3] [10].
6. Προφίλ συμπεριφοράς: Η συλλογή της δυναμικής Keystroke και άλλων δεδομένων συμπεριφοράς των χρηστών μπορεί να χρησιμοποιηθεί για τη δημιουργία λεπτομερών προφίλ των χρηστών. Αυτό δημιουργεί ανησυχίες για την προστασία της ιδιωτικής ζωής, ειδικά όταν τα δεδομένα αυτά μεταδίδονται σε οντότητες που μπορούν να το χρησιμοποιήσουν για σκοπούς παρακολούθησης ή επιτήρησης [1] [4].
Συνοπτικά, η χρήση των πλήκτρων κρυπτογράφησης με hardcoded στις εφαρμογές της Deepseek αυξάνει σημαντικά τον κίνδυνο παραβιάσεων δεδομένων, μη εξουσιοδοτημένη πρόσβαση και παραβιάσεις της ιδιωτικής ζωής. Αυτοί οι κίνδυνοι επιδεινώνονται από τις εκτεταμένες πρακτικές συλλογής δεδομένων της εφαρμογής και τις συνδέσεις της με οντότητες με πιθανές συνέπειες εθνικής ασφάλειας.
Αναφορές:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-cryptographic-key%ef%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-security-vulnerabilities-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-news-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseeek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebssonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/