Uporaba trdo kodiranih šifrirnih tipk v aplikacijah Deepseek predstavlja več pomembnih tveganj za varnost in zasebnost uporabnikov. Tu je nekaj potencialnih tveganj, povezanih s to prakso:
1. Izpostavljenost in prestrezanje podatkov: trdo kodirane šifrirne tipke je mogoče enostavno izvleči iz izvorne kode aplikacije, kar omogoča nepooblaščenim strankam do dostopa in dešifriranja občutljivih podatkov. To še posebej zadeva Deepseek, saj zbira obsežne podatke uporabnikov in naprav, vključno z vzorci tipke, ki se na Kitajskem prenašajo na strežnike [1] [3] [4]. Uporaba zastarelih šifrirnih algoritmov, kot je 3DES, še poslabša to ranljivost, saj je znano, da so ti algoritmi negotovi [1] [3] [9].
2. Pomanjkanje vrtenja ključa: Ko so trde kodirane tipke izpostavljene, jih ni mogoče enostavno spremeniti. To pomeni, da tudi, če se odkrije ranljivost, ključe ostanejo ogrožene, dokler aplikacija ne bo posodobljena, kar lahko traja čas. Ta nezmožnost vrtenja tipk hitro poveča okno ranljivosti za kršitve podatkov [2] [8].
3. Vbrizgavanje in tveganja za bazo podatkov SQL: Aplikacije Deepseek se soočajo tudi s tveganji za vbrizgavanje SQL, kar lahko napadalcem omogoča manipulacijo poizvedb baze podatkov. V kombinaciji s trdo kodiranimi šifrirnimi tipkami bi to lahko napadalcem omogočilo dostop do in dešifriranih občutljivih uporabniških zapisov, shranjenih v bazi [1] [4] [7].
4. Nacionalna varnost in suverenost podatkov zadeve: Prenos podatkov o uporabnikih na strežnike, povezane s kitajskimi subjekti v državni lasti, vzbuja zaskrbljenost glede suverenosti podatkov in nacionalne varnosti. Vključenost bytedance, matične družbe Tiktok, še dodatno zaplete ta vprašanja zaradi kitajskih praks upravljanja podatkov, ki lahko vključujejo nadzor brez garancije [1] [3] [7].
5. Negotovo shranjevanje podatkov: Deepseekove negotove prakse shranjevanja, vključno z negotovo shranjevanjem uporabniških imen, gesel in šifrirnih ključev, povečajo tveganje tatvine poverilnice. To lahko privede do nepooblaščenega dostopa do uporabniških računov in nadaljnjih ogrožanja občutljivih informacij [3] [10].
6. Vedenjsko profiliranje: Zbirka dinamike tipk in drugih podatkov o vedenju uporabnikov se lahko uporabi za izdelavo podrobnih profilov uporabnikov. To sproža pomisleke glede zasebnosti, zlasti kadar se takšni podatki prenašajo na subjekte, ki jih lahko uporabljajo za sledenje ali nadzor [1] [4].
Če povzamemo, uporaba trdo kodiranih šifrirnih tipk v aplikacijah Deepseek znatno poveča tveganje kršitev podatkov, nepooblaščen dostop in kršitve zasebnosti. Ta tveganja sestavljajo obsežne prakse zbiranja podatkov in njene povezave do subjektov s potencialnimi posledicami nacionalne varnosti.
Navedbe:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-codid-cryptographic-Key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-Vulnebilnosti in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-ap-27486
[5] https://breachforce.net/explointing-exposed-encrypy-keys
[6] https://oit.utk.edu/news/the-nagers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-meep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/Vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowecure.com/blog/2025/02/06/nowecure-uncovers-moultiple-security-and-privacy-flaws in-deepseek-ios-mobile-app/