„Deepseek“ programose naudojami kietai koduoti šifravimo raktai kelia keletą reikšmingų rizikų vartotojų duomenų saugumui ir privatumui. Čia yra keletas potencialių su šia praktika susijusios rizikos:
1. Duomenų ekspozicija ir perėmimas: kietai užkoduotus šifravimo klavišus galima lengvai išgauti iš programos šaltinio kodo, leidžiančio neleistinoms šalims pasiekti ir iššifruoti neskelbtinus duomenis. Tai ypač svarbu „Deepseek“, nes jis renka išsamius vartotojo ir įrenginio duomenis, įskaitant klavišų modelius, kurie perduodami serveriams Kinijoje [1] [3] [4]. Pasenusių šifravimo algoritmų, tokių kaip 3DES, naudojimas dar labiau sustiprina šį pažeidžiamumą, nes žinoma, kad šie algoritmai yra nesaugūs [1] [3] [9].
2. Rakto sukimosi trūkumas: Atsirandus kietų kodų raktus, jų negalima lengvai pakeisti. Tai reiškia, kad net jei pastebimas pažeidžiamumas, raktai lieka pažeisti, kol programa nebus atnaujinta, o tai gali užtrukti. Šis nesugebėjimas pasukti klavišų greitai padidina duomenų pažeidimų pažeidžiamumo langą [2] [8].
3. Derinant su kietais koduotais šifravimo klavišais, tai galėtų padėti užpuolikams prieiti ir iššifruoti neskelbtinus vartotojo įrašus, saugomus duomenų bazėje [1] [4] [7].
4. Nacionalinio saugumo ir duomenų suvereniteto rūpesčiai: Vartotojo duomenų perdavimas serveriams, susieti su Kinijos valstybiniais subjektais, kelia susirūpinimą dėl duomenų suvereniteto ir nacionalinio saugumo. „Neaktok“ patronuojančios įmonės „Needance“ dalyvavimas dar labiau apsunkina šias problemas dėl Kinijos duomenų valdymo praktikos, kuri gali apimti be jokios teisės stebėjimą [1] [3] [7].
5. Nesaugių duomenų saugojimas: „Deepseek“ nesaugi saugojimo praktika, įskaitant nesaugų vartotojo vardų, slaptažodžių ir šifravimo klavišų saugojimą, padidina kredencialo vagystės riziką. Tai gali sukelti neteisėtą prieigą prie vartotojo abonementų ir dar labiau pakenkti neskelbtinai informacijai [3] [10].
6. Elgesio profiliavimas: klavišų dinamikos ir kitų vartotojo elgesio duomenų rinkimas gali būti naudojamas kuriant išsamius vartotojų profilius. Tai kelia privatumo susirūpinimą, ypač kai tokie duomenys perduodami subjektams, kurie gali juos naudoti stebėjimo ar stebėjimo tikslais [1] [4].
Apibendrinant galima pasakyti, kad kietai užkoduotų šifravimo raktų naudojimas „Deepseek“ programose žymiai padidina duomenų pažeidimų, neteisėtos prieigos ir privatumo pažeidimų riziką. Šią riziką apsunkina platus programos duomenų rinkimo praktika ir jos ryšys su subjektais, turinčiais galimų nacionalinio saugumo padarinių.
Citatos:
[1] https://ssoejet.com/blog/security-and-privacy-risks-in-deepseeksandroid-app-inights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%ef%BF%BC/
[3] https://blog.devolutions.net/2025/02/cyberSecurity-newsflash-researchers-find-security-vulnerability-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encreption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-covovers-multiple-security-and-privacy-flaws-in-deepseee-ios-mobile-app/