Kõvakodeeritud krüptimisvõtmete kasutamine Deepseeki rakendustes kujutab endast mitmeid olulisi riske kasutajaandmete turvalisusele ja privaatsusele. Siin on mõned selle praktikaga seotud potentsiaalsed riskid:
1. Andmete kokkupuude ja pealtkuulamine: kõvakodeeritud krüptimisvõtmed saab rakenduse lähtekoodist hõlpsalt ekstraheerida, võimaldades volitamata osapooltel tundlikke andmeid juurde pääseda ja dekrüpteerida. See puudutab eriti Deepseeki jaoks, kuna see kogub ulatuslikke kasutaja- ja seadme andmeid, sealhulgas võtmepõhiseid mustreid, mis edastatakse Hiinas serveritesse [1] [3] [4]. Aegunud krüptimisalgoritmide, näiteks 3DE -de kasutamine süvendab seda haavatavust veelgi, kuna need algoritmid on teadaolevalt ebakindlad [1] [3] [9].
2. Võtme pöörlemise puudumine: Kui kõvakodeeritud võtmed on paljastatud, ei saa neid hõlpsasti muuta. See tähendab, et isegi kui haavatavus on avastatud, jäävad võtmed ohustatud, kuni rakenduse värskendamine võib võtta, mis võib võtta aega. See võimetus võtmeid pöörata suurendab kiiresti andmerikkumiste korral haavatavuse akent [2] [8].
3. SQL -i süstimine ja andmebaasi riskid: Deepseeki rakendused seisavad silmitsi ka SQL -i süstimisriskidega, mis võimaldavad ründajatel manipuleerida andmebaasipäringutega. Kombineerituna kõvakodeeritud krüptimisvõtmetega võib see võimaldada ründajatel andmebaasis salvestatud tundlike kasutajate kirjete juurdepääsu ja dekrüpteerida [1] [4] [7].
4. Riiklik julgeolek ja andmete suveräänsusprobleemid: Kasutajate andmete edastamine Hiina riigile kuuluvate üksustega seotud serveritele tekitab muret andmete suveräänsuse ja riikliku julgeoleku pärast. Tiktoki emaettevõtte Bytedance'i kaasamine raskendab neid küsimusi veelgi Hiina andmehalduse tavade tõttu, mis võivad hõlmata õigustamatut jälgimist [1] [3] [7].
5. Ebaturvaline andmesalvestus: Deepseeki ebakindlad ladustamispraktikad, sealhulgas kasutajanimede, paroolide ja krüptimisvõtmete ebakindla salvestusruumi, suurendavad mandaadi varguse riski. See võib põhjustada loata juurdepääsu kasutajakontodele ja veelgi ohustada tundlikku teavet [3] [10].
6. Käitumisprofiilide koostamine: Klahvistiku dünaamika ja muude kasutajakäitumise andmete kogumist saab kasutada kasutajate üksikasjalike profiilide loomiseks. See tekitab privaatsusega seotud probleeme, eriti kui sellised andmed edastatakse üksustele, kes võivad seda kasutada jälgimiseks või jälgimiseks [1] [4].
Kokkuvõtlikult suurendab kõvakodeeritud krüptimisvõtmete kasutamine Deepseeki rakendustes märkimisväärselt andmerikkumiste, volitamata juurdepääsu ja privaatsuse rikkumiste riski. Neid riske täiendab rakenduse ulatuslikud andmete kogumise tava ja selle ühendused üksustega, millel on võimalik riiklik julgeolek.
Tsitaadid:
]
]
]
[4] https://www.bankinfosecurity.com/security-researchers-warn-warrn-brups-in-re-deepseek-ai-app-a-27486
]
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
]
]
]
]