Використання жорстких кодованих клавіш шифрування в додатках DeepSeek становить кілька значних ризиків для захисту даних та конфіденційності даних. Ось деякі потенційні ризики, пов'язані з цією практикою:
1. Опромінення даних та перехоплення: жорсткі кодовані клавіші шифрування можна легко витягнути з вихідного коду програми, що дозволяє несанкціонованим сторонам отримувати доступ та розшифровку чутливих даних. Це особливо стосується DeepSeek, оскільки він збирає широкі дані користувачів та пристроїв, включаючи клавіші шаблони, які передаються на сервери в Китаї [1] [3] [4]. Використання застарілих алгоритмів шифрування, таких як 3DES, ще більше посилює цю вразливість, оскільки ці алгоритми, як відомо, є небезпечними [1] [3] [9].
2. Відсутність обертання ключів: Після того, як жорсткі кодовані клавіші будуть викриті, їх неможливо легко змінити. Це означає, що навіть якщо виявлено вразливість, ключі залишаються порушеними до оновлення програми, що може зайняти час. Ця неможливість обертання ключів швидко збільшує вікно вразливості для порушень даних [2] [8].
3. Ризики ін'єкцій та бази даних SQL: Програми DeepSeek також стикаються з ризиками ін'єкцій SQL, що може дозволити зловмисникам маніпулювати запитими бази даних. У поєднанні з жорсткими кодованими клавішами шифрування це може дозволити зловмисникам отримати доступ та розшифрувати чутливі записи користувачів, що зберігаються в базі даних [1] [4] [7].
. Залучення Bytedance, материнської компанії Tiktok, ще більше ускладнює ці питання через практику управління даними Китаю, яка може включати без гарантійного спостереження [1] [3] [7].
5. Небезпечне зберігання даних: Небезпечні практики зберігання DeepSeek, включаючи небезпечне зберігання імен користувачів, паролів та клавіш шифрування, збільшують ризик крадіжок облікових даних. Це може призвести до несанкціонованого доступу до облікових записів користувачів та подальшої компромісної конфіденційної інформації [3] [10].
6. Поведінне профілювання: Збірник динаміки клавіш та інших даних про поведінку користувачів може бути використаний для створення детальних профілів користувачів. Це викликає проблеми конфіденційності, особливо коли такі дані передаються суб'єктам, які можуть використовувати їх для відстеження або спостереження [1] [4].
Підсумовуючи, використання жорстких кодованих ключів шифрування у додатках DeepSeek значно збільшує ризик порушення даних, несанкціонований доступ та порушення конфіденційності. Ці ризики ускладнюються широкими практиками збору даних та його зв’язками з суб'єктами, які мають потенційні наслідки національної безпеки.
Цитати:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerability-in-deepeek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepeek-aip-aapp-27486
[5] https://breachforce.net/exploiting-expoded-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepeek-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/