Användningen av hårdkodade krypteringsnycklar i Deepseeks applikationer utgör flera betydande risker för användardatasäkerhet och integritet. Här är några av de potentiella riskerna som är förknippade med denna praxis:
1. Exponering för data och avlyssning: Hardkodade krypteringsnycklar kan enkelt extraheras från applikationens källkod, vilket gör att obehöriga parter kan komma åt och dekryptera känslig data. Detta handlar särskilt om för Deepseek, eftersom det samlar in omfattande användar- och enhetsdata, inklusive tangenttryckningsmönster, som överförs till servrar i Kina [1] [3] [4]. Användningen av föråldrade krypteringsalgoritmer som 3DE förvärrar ytterligare denna sårbarhet, eftersom dessa algoritmer är kända för att vara osäkra [1] [3] [9].
2. Brist på nyckelrotation: När hårdkodade nycklar har utsättts kan de inte enkelt ändras. Detta innebär att även om sårbarheten upptäcks förblir nycklarna komprometterade tills applikationen har uppdaterats, vilket kan ta tid. Denna oförmåga att rotera nycklar ökar snabbt fönstret med sårbarhet för dataöverträdelser [2] [8].
3. SQL -injektions- och databasrisker: Deepseeks applikationer står också inför SQL -injektionsrisker, vilket kan göra det möjligt för angripare att manipulera databasfrågor. I kombination med hårdkodade krypteringsnycklar kan detta göra det möjligt för angripare att komma åt och dekryptera känsliga användarposter lagrade i databasen [1] [4] [7].
4. National Security and Data Sovereignty Problem: Överföringen av användardata till servrar kopplade till kinesiska statliga enheter väcker oro över datasuveränitet och nationell säkerhet. Involvering av ByteDance, moderbolaget till Tiktok, komplicerar ytterligare dessa frågor på grund av Kinas dataledningsmetoder, som kan inkludera orättfri övervakning [1] [3] [7].
5. Osäker datalagring: Deepseeks osäkra lagringsmetoder, inklusive osäker lagring av användarnamn, lösenord och krypteringsnycklar, ökar risken för referensstöld. Detta kan leda till obehörig åtkomst till användarkonton och ytterligare kompromissa känslig information [3] [10].
6. Beteendeprofilering: Insamlingen av tangenttrycksdynamik och andra användarbeteendedata kan användas för att bygga detaljerade profiler av användare. Detta väcker integritetsproblem, särskilt när sådana uppgifter överförs till enheter som kan använda dem för spårning eller övervakningsändamål [1] [4].
Sammanfattningsvis ökar användningen av hårdkodade krypteringsnycklar i Deepseeks applikationer avsevärt risken för dataöverträdelser, obehörig åtkomst och överträdelser av integritet. Dessa risker förvärras av appens omfattande metoder för datainsamling och dess anslutningar till enheter med potentiella nationella säkerhetskonsekvenser.
Citeringar:
]
]
]
]
[5] https://breachforce.net/exploiting-exposed-cryption-Keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityScorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
]
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-covers-multiple-security-and-privacy-laws-in-deepseek-ios-mobile-app/