Penggunaan kunci enkripsi hardcoded dalam aplikasi Deepseek menimbulkan beberapa risiko signifikan terhadap keamanan dan privasi data pengguna. Berikut adalah beberapa risiko potensial yang terkait dengan praktik ini:
1. Paparan dan intersepsi data: Kunci enkripsi hardcoded dapat dengan mudah diekstraksi dari kode sumber aplikasi, memungkinkan pihak yang tidak sah untuk mengakses dan mendekripsi data sensitif. Ini sangat memprihatinkan untuk Deepseek, karena mengumpulkan data pengguna dan perangkat yang luas, termasuk pola penekanan tombol, yang ditransmisikan ke server di Cina [1] [3] [4]. Penggunaan algoritma enkripsi yang sudah ketinggalan zaman seperti 3DE lebih lanjut memperburuk kerentanan ini, karena algoritma ini diketahui tidak aman [1] [3] [9].
2. Kurangnya rotasi kunci: Setelah tombol hardcoded terpapar, mereka tidak dapat dengan mudah diubah. Ini berarti bahwa bahkan jika kerentanan ditemukan, kunci tetap dikompromikan sampai aplikasi diperbarui, yang dapat memakan waktu. Ketidakmampuan untuk memutar tombol dengan cepat meningkatkan jendela kerentanan untuk pelanggaran data [2] [8].
3. SQL Injeksi dan Risiko Database: Aplikasi Deepseek juga menghadapi risiko injeksi SQL, yang dapat memungkinkan penyerang untuk memanipulasi kueri basis data. Ketika dikombinasikan dengan kunci enkripsi hardcoded, ini dapat memungkinkan penyerang untuk mengakses dan mendekripsi catatan pengguna sensitif yang disimpan dalam database [1] [4] [7].
4. Keamanan Nasional dan Kekhawatiran kedaulatan Data: Transmisi data pengguna ke server yang terkait dengan entitas milik negara Cina menimbulkan kekhawatiran tentang kedaulatan data dan keamanan nasional. Keterlibatan Bytedance, perusahaan induk Tiktok, lebih lanjut mempersulit masalah ini karena praktik tata kelola data China, yang mungkin termasuk pengawasan tanpa surat perintah [1] [3] [7].
5. Penyimpanan Data Tidak Aman: Praktik penyimpanan tidak aman Deepseek, termasuk penyimpanan nama pengguna, kata sandi, dan kunci enkripsi yang tidak aman, meningkatkan risiko pencurian kredensial. Hal ini dapat menyebabkan akses yang tidak sah ke akun pengguna dan lebih lanjut kompromi informasi sensitif [3] [10].
6. Profil Perilaku: Kumpulan dinamika keystroke dan data perilaku pengguna lainnya dapat digunakan untuk membangun profil terperinci pengguna. Ini menimbulkan masalah privasi, terutama ketika data tersebut ditransmisikan ke entitas yang dapat menggunakannya untuk tujuan pelacakan atau pengawasan [1] [4].
Singkatnya, penggunaan kunci enkripsi hardcoded dalam aplikasi Deepseek secara signifikan meningkatkan risiko pelanggaran data, akses tidak sah, dan pelanggaran privasi. Risiko -risiko ini diperparah oleh praktik pengumpulan data yang luas dari aplikasi dan koneksi ke entitas dengan implikasi keamanan nasional yang potensial.
Kutipan:
[1.
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%ef%bf%bc/
[3.
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-leepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/