Использование клавиш зашифрования в жесткости в приложениях DeepSeek представляет собой несколько значительных рисков для безопасности пользовательских данных и конфиденциальности. Вот некоторые из потенциальных рисков, связанных с этой практикой:
1. Воздействие и перехват данных: Клавиши шифрования в твердом кодировании можно легко извлечь из исходного кода приложения, что позволяет несанкционированным сторонам доступа и дешифтируют конфиденциальные данные. Это особенно касается DeepSeek, поскольку он собирает обширные данные пользователей и устройства, включая шаблоны клавишных, которые передаются на серверы в Китае [1] [3] [4]. Использование устаревших алгоритмов шифрования, таких как 3DES, еще больше усугубляет эту уязвимость, поскольку эти алгоритмы, как известно, являются небезопасными [1] [3] [9].
2. Отсутствие вращения ключей: после того, как в твердо кодированных клавишах выставлены, их нельзя легко изменить. Это означает, что даже если уязвимость обнаружена, ключи остаются скомпрометированными до тех пор, пока приложение не будет обновлено, что может занять время. Эта неспособность повернуть клавиши быстро увеличивает окно уязвимости для устранения данных [2] [8].
3. Инъекция SQL и риски базы данных: приложения DeepSeek также сталкиваются с рисками инъекций SQL, что может позволить злоумышленникам манипулировать запросами базы данных. В сочетании с жесткими клавишами шифрования это может позволить злоумышленникам доступ и расшифровывать конфиденциальные пользовательские записи, хранящиеся в базе данных [1] [4] [7].
4. Проблемы суверенитета национальной безопасности и данных: передача пользовательских данных на серверы, связанные с китайскими государственными организациями, вызывает обеспокоенность по поводу суверенитета данных и национальной безопасности. Участие Bytedance, материнская компания Tiktok, еще больше усложняет эти проблемы из -за практики управления данными Китая, которые могут включать в себя безрезультатное наблюдение [1] [3] [7].
5. Небезопасное хранилище данных: небезопасные методы хранения DeepSeek, включая небезопасное хранилище имен пользователей, паролей и клавиш шифрования, увеличить риск кражи учетных данных. Это может привести к несанкционированному доступу к учетным записям пользователей и дальнейшему компромиссом конфиденциальной информации [3] [10].
6. Поведенческое профилирование: коллекция динамики клавишных и других данных поведения пользователей может использоваться для создания подробных профилей пользователей. Это вызывает проблемы конфиденциальности, особенно когда такие данные передаются объектам, которые могут использовать их в целях отслеживания или наблюдения [1] [4].
Таким образом, использование клавиш зашифрованного шифрования в приложениях Deepseek значительно увеличивает риск нарушений данных, несанкционированный доступ и нарушения конфиденциальности. Эти риски усугубляются обширными методами сбора данных приложения и его связями с организациями с потенциальными последствиями национальной безопасности.
Цитаты:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-cded-cryptographic-key%ef%bf%bc/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-sion-and-privacy-flaws-in-deepseek-ios-mobile-app/