Utilizarea cheilor de criptare codate în aplicațiile Deepseek prezintă mai multe riscuri semnificative pentru securitatea și confidențialitatea datelor utilizatorilor. Iată câteva dintre riscurile potențiale asociate acestei practici:
1. Expunerea datelor și interceptarea: tastele de criptare codate hard pot fi extrase cu ușurință din codul sursă al aplicației, permițând părților neautorizate să acceseze și să decripteze date sensibile. Acest lucru se referă în special la Deepseek, deoarece colectează date extinse ale utilizatorilor și dispozitivului, inclusiv modele de apăsare a tastei, care sunt transmise serverelor din China [1] [3] [4]. Utilizarea algoritmilor de criptare depășiți, cum ar fi 3DE, agravează în continuare această vulnerabilitate, deoarece acești algoritmi sunt cunoscuți a fi nesiguri [1] [3] [9].
2. Lipsa rotației cheii: odată ce tastele codate sunt expuse, acestea nu pot fi modificate cu ușurință. Aceasta înseamnă că, chiar dacă vulnerabilitatea este descoperită, tastele rămân compromise până la actualizarea aplicației, ceea ce poate dura timp. Această incapacitate de a roti tastele crește rapid fereastra de vulnerabilitate pentru încălcările de date [2] [8].
3. Injecția SQL și riscurile bazei de date: Aplicațiile Deepseek se confruntă, de asemenea, cu riscuri de injecție SQL, ceea ce poate permite atacatorilor să manipuleze întrebările bazei de date. Atunci când este combinat cu tastele de criptare codate, acest lucru ar putea permite atacatorilor să acceseze și să decripteze înregistrările de utilizator sensibile stocate în baza de date [1] [4] [7].
4. Securitate națională și date despre suveranitatea datelor: Transmiterea datelor utilizatorilor către serverele legate de entități de stat chineze ridică îngrijorări cu privire la suveranitatea datelor și securitatea națională. Implicarea bicăturii, compania -mamă din Tiktok, complică în continuare aceste probleme din cauza practicilor de guvernare a datelor din China, care pot include supraveghere fără garanție [1] [3] [7].
5. Stocare de date nesigură: practicile de stocare nesigure ale Deepseek, inclusiv stocarea nesigură a numelor de utilizator, parole și cheile de criptare, cresc riscul de furt de acreditare. Acest lucru poate duce la acces neautorizat la conturile de utilizator și la un compromis suplimentar de informații sensibile [3] [10].
6. Profilare comportamentală: Colectarea dinamicii de apăsare a tastei și a altor date de comportament ale utilizatorului poate fi utilizată pentru a construi profiluri detaliate ale utilizatorilor. Acest lucru ridică probleme de confidențialitate, în special atunci când aceste date sunt transmise entităților care le pot utiliza în scopuri de urmărire sau supraveghere [1] [4].
În rezumat, utilizarea cheilor de criptare codate în aplicațiile Deepseek crește semnificativ riscul de încălcări ale datelor, acces neautorizat și încălcări de confidențialitate. Aceste riscuri sunt agravate de practicile extinse de colectare a datelor și conexiunile sale la entități cu implicații potențiale de securitate națională.
Citări:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
]
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-culnerabilitys-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-AI-ap-a-27486
[5] https://breachforce.net/exploiting-expuse-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsescurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-AI-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/