Korzystanie z zatrzymanych klawiszy szyfrowania w aplikacjach Deepseek stanowi kilka znaczących zagrożeń dla bezpieczeństwa danych i prywatności użytkowników. Oto niektóre z potencjalnych zagrożeń związanych z tą praktyką:
1. Ekspozycja i przechwytywanie danych: Klawisze szyfrowania na twardo można łatwo wyodrębnić z kodu źródłowego aplikacji, umożliwiając nieautoryzowanym stronom dostępu i odszyfrowania danych wrażliwych. Jest to szczególnie niepokojące dla DeepSeek, ponieważ zbiera obszerne dane użytkownika i urządzenia, w tym wzorce klawiszy, które są przesyłane na serwery w Chinach [1] [3] [4]. Zastosowanie przestarzałych algorytmów szyfrowania, takich jak 3DE, dodatkowo pogarsza tę lukę, ponieważ te algorytmy są niepewne [1] [3] [9].
2. Brak obrotu kluczowego: Po odsłonięciu klawiszy zagorzałych nie można ich łatwo zmienić. Oznacza to, że nawet w przypadku odkrycia podatności klucze pozostają narażone na szwank, dopóki aplikacja nie zostanie zaktualizowana, co może zająć trochę czasu. Ta niezdolność do obracania kluczy szybko zwiększa okno podatności na naruszenie danych [2] [8].
3. Ryzyko wtrysku i bazy danych SQL: Aplikacje Deepseek są również w obliczu ryzyka wstrzyknięcia SQL, co może umożliwić atakującym manipulowanie zapytaczami bazy danych. W połączeniu z hardkodowanymi klawiszami szyfrowania może to umożliwić atakującym dostęp i odszyfrowanie wrażliwych rekordów użytkownika przechowywane w bazie danych [1] [4] [7].
4. Bezpieczeństwo narodowe i suwerenność danych: transmisja danych użytkownika do serwerów powiązanych z chińskimi podmiotami państwowymi rodzi obawy dotyczące suwerenności danych i bezpieczeństwa narodowego. Zaangażowanie Bytedance, spółka macierzysta Tiktok, dodatkowo komplikuje te kwestie ze względu na chińskie praktyki zarządzania danymi, które mogą obejmować nadzór bez gwarancji [1] [3] [7].
5. Niepewne przechowywanie danych: Niepewne praktyki przechowywania DeepSeek, w tym niepewne przechowywanie nazw użytkowników, haseł i kluczy szyfrowania, zwiększają ryzyko kradzieży poświadczenia. Może to prowadzić do nieautoryzowanego dostępu do kont użytkowników i dalszego kompromisu poufnych informacji [3] [10].
6. Profilowanie behawioralne: Zbiór dynamiki klawiszy i innych danych o zachowaniu użytkownika można wykorzystać do tworzenia szczegółowych profili użytkowników. Podnosi to obawy dotyczące prywatności, zwłaszcza gdy takie dane są przesyłane na podmioty, które mogą je wykorzystać do celów śledzenia lub nadzoru [1] [4].
Podsumowując, użycie zakodowanych kluczy szyfrowania w aplikacjach Deepseek znacznie zwiększa ryzyko naruszenia danych, nieautoryzowanego dostępu i naruszeń prywatności. Ryzyko te spotęgowują obszerne praktyki gromadzenia danych aplikacji i jej powiązania z podmiotami z potencjalnymi implikacjami bezpieczeństwa narodowego.
Cytaty:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptografi-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabities-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-varn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulneribity-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-in-deepseek-ios-mobile-app/