Bruken av hardkodede krypteringsnøkler i DeepSeeks applikasjoner utgjør flere betydelige risikoer for brukerdatasikkerhet og personvern. Her er noen av de potensielle risikoene forbundet med denne praksisen:
1. Dataeksponering og avskjæring: Hardkodede krypteringsnøkler kan enkelt trekkes ut fra applikasjonens kildekode, slik at uautoriserte parter kan få tilgang til og dekryptere sensitive data. Dette gjelder spesielt for DeepSeek, ettersom det samler omfattende bruker- og enhetsdata, inkludert tastetrykkmønster, som overføres til servere i Kina [1] [3] [4]. Bruken av utdaterte krypteringsalgoritmer som 3DES forverrer denne sårbarheten ytterligere, da disse algoritmene er kjent for å være usikre [1] [3] [9].
2. Mangel på nøkkelrotasjon: Når hardkodede nøkler er utsatt, kan de ikke lett endres. Dette betyr at selv om sårbarheten blir oppdaget, forblir nøklene kompromittert til applikasjonen er oppdatert, noe som kan ta tid. Denne manglende evne til å rotere nøkler øker raskt sårbarhetsvinduet for datainnbrudd [2] [8].
3. SQL -injeksjons- og databaserisiko: DeepSeeks applikasjoner står også overfor SQL -injeksjonsrisikoer, noe som kan tillate angripere å manipulere databasespørsmål. Når det er kombinert med hardkodede krypteringsnøkler, kan dette gjøre det mulig for angripere å få tilgang til og dekryptere sensitive brukerposter som er lagret i databasen [1] [4] [7].
4. Nasjonal sikkerhet og datasuverenitetsproblemer: Overføring av brukerdata til servere knyttet til kinesiske statseide enheter vekker bekymring for datasoverenitet og nasjonal sikkerhet. Involvering av Bytedance, morselskapet til Tiktok, kompliserer ytterligere disse spørsmålene på grunn av Kinas datastyringspraksis, som kan omfatte garanteløs overvåking [1] [3] [7].
5. Usikker datalagring: DeepSeeks usikre lagringspraksis, inkludert usikker lagring av brukernavn, passord og krypteringsnøkler, øker risikoen for legitimasjonstyveri. Dette kan føre til uautorisert tilgang til brukerkontoer og ytterligere kompromittere sensitiv informasjon [3] [10].
6. Atferdsprofilering: Samlingen av tastetrykkdynamikk og andre brukeratferdsdata kan brukes til å bygge detaljerte profiler av brukere. Dette reiser personvernhensyn, spesielt når slike data overføres til enheter som kan bruke dem til sporing eller overvåkningsformål [1] [4].
Oppsummert øker bruken av hardkodede krypteringsnøkler i DeepSeeks applikasjoner betydelig risikoen for brudd på data, uautorisert tilgang og brudd på personvernet. Disse risikoene er forsterket av appens omfattende datainnsamlingspraksis og dens forbindelser til enheter med potensielle nasjonale sikkerhetsmessige implikasjoner.
Sitasjoner:
[1] https://ssojet.com/blog/security-and-privacy-siss-in-depepeeeks-android-app-app-tights-from-eksperts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-nøkkel%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-peepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-criss-in-Deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-dings-dekseek/
[7] https://securityscorecard.com/blog/a-dep-eek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-sekrets
[9] https://krebssecurity.com/2025/02/experts-flag-security-privacy-riss-in-depeSeek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-Deepseek-ios-mobile-app/