L'uso delle chiavi di crittografia con codice rigido nelle applicazioni di DeepSeek pone diversi rischi significativi per la sicurezza e la privacy dei dati degli utenti. Ecco alcuni dei potenziali rischi associati a questa pratica:
1. Esposizione e intercettazione dei dati: le chiavi di crittografia con codice rigido possono essere facilmente estratti dal codice sorgente dell'applicazione, consentendo alle parti non autorizzate di accedere e decrittografare dati sensibili. Ciò è particolarmente preoccupante per DeepSeek, in quanto raccoglie ampi dati di utenti e dispositivi, inclusi i modelli di tappeti, che vengono trasmessi ai server in Cina [1] [3] [4]. L'uso di algoritmi di crittografia obsoleti come 3DE aggrava ulteriormente questa vulnerabilità, poiché questi algoritmi sono noti per non essere sicuri [1] [3] [9].
2. Mancanza di rotazione chiave: una volta che i tasti con codice rigido sono esposti, non possono essere facilmente modificati. Ciò significa che anche se viene scoperta la vulnerabilità, le chiavi rimangono compromesse fino all'aggiornamento dell'applicazione, il che può richiedere del tempo. Questa incapacità di ruotare le chiavi aumenta rapidamente la finestra della vulnerabilità per le violazioni dei dati [2] [8].
3. Rischi di iniezione di SQL e database: le applicazioni di DeepSeek affrontano anche rischi di iniezione SQL, che possono consentire agli aggressori di manipolare le query di database. Se combinato con tasti di crittografia con codice rigido, ciò potrebbe consentire agli aggressori di accedere e decrittografare i record degli utenti sensibili memorizzati nel database [1] [4] [7].
4. Sicurezza nazionale e di sovranità dei dati Preoccupazioni: la trasmissione dei dati degli utenti ai server collegati alle entità di proprietà statale cinese solleva preoccupazioni riguardo alla sovranità dei dati e alla sicurezza nazionale. Il coinvolgimento di Bytedance, la società madre di Tiktok, complica ulteriormente questi problemi a causa delle pratiche di governance dei dati della Cina, che possono includere la sorveglianza senza garanzia [1] [3] [7].
5. Archiviazione dati insicuri: le pratiche di archiviazione non sicure di DeepSeek, inclusa l'archiviazione non sicura di nomi utente, password e chiavi di crittografia, aumentano il rischio di furto di credenziali. Ciò può portare ad un accesso non autorizzato agli account utente e compromettere ulteriormente le informazioni sensibili [3] [10].
6. Profilazione comportamentale: la raccolta di dinamiche di tasti e altri dati di comportamento dell'utente possono essere utilizzati per creare profili dettagliati degli utenti. Ciò solleva problemi di privacy, specialmente quando tali dati vengono trasmessi a entità che possono utilizzarli per scopi di tracciamento o di sorveglianza [1] [4].
In sintesi, l'uso delle chiavi di crittografia con codice hard nelle applicazioni di DeepSeek aumenta significativamente il rischio di violazioni dei dati, accesso non autorizzato e violazioni della privacy. Questi rischi sono aggravati dalle ampie pratiche di raccolta dei dati dell'app e dalle sue connessioni con entità con potenziali implicazioni di sicurezza nazionale.
Citazioni:
[1] https://sssojet.com/blog/security-and-privacy-gisks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptografiche-key%ef%bf%bc/
[3] https://blog.devolutions.net/2025/02/cybececurity-newsflash-researchers-find-security-vulnerabilities-indeepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-nisks-in-deepseek-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-resks-in-deepseek-app-app/
[10] https://www.nownecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/