O uso de chaves de criptografia codificada nos aplicativos da Deepseek apresenta vários riscos significativos para a segurança e a privacidade dos dados do usuário. Aqui estão alguns dos riscos potenciais associados a esta prática:
1. Exposição e interceptação de dados: as teclas de criptografia codificadas podem ser facilmente extraídas do código -fonte do aplicativo, permitindo que as partes não autorizadas acessem e descriptografam dados sensíveis. Isso é particularmente preocupante para a DeepSeek, pois coleta dados extensos do usuário e do dispositivo, incluindo padrões de pressionamento de tecla, que são transmitidos aos servidores na China [1] [3] [4]. O uso de algoritmos de criptografia desatualizados como o 3DES exacerba ainda mais essa vulnerabilidade, pois esses algoritmos são conhecidos por serem inseguros [1] [3] [9].
2. Falta de rotação chave: Depois que as teclas codificadas são expostas, elas não podem ser facilmente alteradas. Isso significa que, mesmo que a vulnerabilidade seja descoberta, as chaves permanecem comprometidas até que o aplicativo seja atualizado, o que pode levar tempo. Essa incapacidade de girar as teclas aumenta rapidamente a janela de vulnerabilidade para violações de dados [2] [8].
3. Riscos de injeção e banco de dados SQL: os aplicativos da Deepseek também enfrentam riscos de injeção de SQL, o que pode permitir que os invasores manipulem as consultas de banco de dados. Quando combinados com as teclas de criptografia codificadas, isso pode permitir que os invasores acessem e descriptografam registros de usuário sensíveis armazenados no banco de dados [1] [4] [7].
4. Sobreentidade de segurança e dados nacionais: a transmissão de dados do usuário para servidores vinculados a entidades estatais chinesas levanta preocupações sobre a soberania de dados e a segurança nacional. O envolvimento da Bytedance, a empresa controladora da Tiktok, complica ainda mais essas questões devido às práticas de governança de dados da China, que podem incluir vigilância sem garantia [1] [3] [7].
5. Armazenamento de dados inseguro: práticas de armazenamento inseguras da DeepSeek, incluindo o armazenamento inseguro de nomes de usuário, senhas e chaves de criptografia, aumentam o risco de roubo de credenciais. Isso pode levar a acesso não autorizado às contas de usuário e comprometer ainda mais as informações confidenciais [3] [10].
6. Perfil comportamental: a coleta de dinâmica de pressionamento de tecla e outros dados de comportamento do usuário pode ser usado para criar perfis detalhados de usuários. Isso levanta preocupações de privacidade, especialmente quando esses dados são transmitidos a entidades que podem usá -los para fins de rastreamento ou vigilância [1] [4].
Em resumo, o uso de chaves de criptografia codificada nas aplicações da Deepseek aumenta significativamente o risco de violações de dados, acesso não autorizado e violações de privacidade. Esses riscos são agravados pelas extensas práticas de coleta de dados do aplicativo e suas conexões com entidades com possíveis implicações de segurança nacional.
Citações:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%ef%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-deepseek-for-ios
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/expleiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-onsing-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-neepseek-ios-mobile-app/