Cietu kodētu šifrēšanas atslēgu izmantošana DeepSeek lietojumprogrammās rada vairākus nozīmīgus riskus lietotāju datu drošībai un privātumam. Šeit ir daži no iespējamiem riskiem, kas saistīti ar šo praksi:
1. Datu ekspozīcija un pārtveršana: Cietu kodētās šifrēšanas atslēgas var viegli iegūt no lietojumprogrammas avota koda, ļaujot neatļautām pusēm piekļūt un atšifrēt sensitīvus datus. Tas jo īpaši attiecas uz DeepSeek, jo tas apkopo plašus lietotāju un ierīču datus, ieskaitot taustiņu modeļus, kas Ķīnā tiek pārsūtīti serveriem [1] [3] [4]. Tādu novecojušu šifrēšanas algoritmu izmantošana, piemēram, 3DES, vēl vairāk saasina šo ievainojamību, jo ir zināms, ka šie algoritmi ir nedroši [1] [3] [9].
2. Atslēgas rotācijas trūkums: Kad ir pakļauti cieti kodēti taustiņi, tos nevar viegli mainīt. Tas nozīmē, ka pat tad, ja tiek atklāta ievainojamība, atslēgas joprojām ir apdraudētas, līdz lietojumprogramma tiek atjaunināta, kas var aizņemt laiku. Šī nespēja pagriezt taustiņus ātri palielina datu pārkāpumu ievainojamības logu [2] [8].
3. SQL injekcijas un datu bāzes riski: DeepSeek lietojumprogrammas saskaras arī ar SQL injekcijas riskiem, kas var ļaut uzbrucējiem manipulēt ar datu bāzes vaicājumiem. Apvienojot ar hard kodētiem šifrēšanas taustiņiem, tas varētu dot iespēju uzbrucējiem piekļūt un atšifrēt slepenus lietotāju ierakstus, kas saglabāti datu bāzē [1] [4] [7].
4. Nacionālās drošības un datu suverenitātes bažas: Lietotāju datu pārraide serveriem, kas saistīti ar Ķīnas valstij piederošām vienībām, rada bažas par datu suverenitāti un nacionālo drošību. Tiktokas mātesuzņēmuma Bytedance iesaistīšana vēl vairāk sarežģī šos jautājumus Ķīnas datu pārvaldības prakses dēļ, kas var ietvert bez garantijas uzraudzību [1] [3] [7].
5. Nedrošība datu glabāšana: DeepSeek nedrošā glabāšanas prakse, ieskaitot nelikumīgu lietotājvārdu, paroļu un šifrēšanas atslēgu glabāšanu, palielina akreditācijas zādzības risku. Tas var izraisīt neatļautu piekļuvi lietotāju kontiem un turpmāk kompromitēt sensitīvu informāciju [3] [10].
6. Uzvedības profilēšana: taustiņu dinamikas un citu lietotāju uzvedības datu vākšanu var izmantot, lai izveidotu detalizētus lietotāju profilus. Tas rada bažas par privātumu, it īpaši, ja šādi dati tiek pārsūtīti uz vienībām, kuras tos var izmantot izsekošanas vai uzraudzības vajadzībām [1] [4].
Rezumējot, cietā kodēto šifrēšanas atslēgu izmantošana DeepSeek lietojumprogrammās ievērojami palielina datu pārkāpumu, neatļautas piekļuves un privātuma pārkāpumu risku. Šos riskus papildina lietotnes plašā datu vākšanas prakse un tās savienojumi ar vienībām, kurām ir iespējama ietekme uz valsts drošību.
Atsauces:
[1] https://soejet.com/blog/security-and-privacy-risk-in-depseeks-android-app-inights-from-experts/
.
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerility-in-depseek-for-ios/
.
[5] https://breachforce.net/exploiting-exposed-cryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulterable-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risk-in-depseek-ai-app/
.