A kemény kódú titkosítási kulcsok használata a DeepSeek alkalmazásaiban számos jelentős kockázatot jelent a felhasználói adatbiztonság és a magánélet védelme szempontjából. Íme néhány a gyakorlathoz kapcsolódó lehetséges kockázatok közül:
1. Adatok expozíciója és lehallgatása: A kemény kódolt titkosítási kulcsok könnyen kinyerhetők az alkalmazás forráskódjából, lehetővé téve az illetéktelen felek számára, hogy hozzáférjenek és dekódoljanak az érzékeny adatokhoz. Ez különösen a DeepSeek számára vonatkozik, mivel kiterjedt felhasználói és eszközadatokat gyűjt, ideértve a billentyűzet mintákat is, amelyeket Kínában a szerverekre továbbítanak [1] [3] [4]. Az elavult titkosítási algoritmusok, például a 3DE -k használata tovább súlyosbítja ezt a sebezhetőséget, mivel ezekről az algoritmusokról ismert, hogy bizonytalanok [1] [3] [9].
2. A kulcs forgása hiánya: Miután a kemény kódolt kulcsok ki vannak téve, nem lehet könnyen megváltoztatni. Ez azt jelenti, hogy még ha a sebezhetőséget is felfedezik, a kulcsok veszélybe kerülnek, amíg az alkalmazás frissül, ami időbe telik. A kulcsok elforgatásának képtelensége gyorsan növeli az adatok megsértésének sebezhetőségének ablakát [2] [8].
3. SQL injekciós és adatbázis -kockázatok: A DeepSeek alkalmazásai SQL injekciós kockázatokkal is szembesülnek, amelyek lehetővé teszik a támadók számára, hogy az adatbázis -lekérdezéseket manipulálják. A kemény kódolású titkosítási kulcsokkal kombinálva ez lehetővé teszi a támadók számára az adatbázisban tárolt érzékeny felhasználói rekordok elérését és dekódolását [1] [4] [7].
4. Nemzetbiztonsági és adatszuverenitás-aggályok: A felhasználói adatok továbbítása a kínai állami tulajdonban lévő szervezetekhez kapcsolódó szerverekre aggodalmát vet fel az adatok szuverenitásával és a nemzetbiztonsággal kapcsolatban. A Tiktok anyavállalata, a Bytedance bevonása tovább bonyolítja ezeket a kérdéseket Kína adatkezelési gyakorlatai miatt, amelyek magukban foglalhatják a szabálytalan megfigyelést [1] [3] [7].
5. Bizonytalan adattárolás: A DeepSeek bizonytalan tárolási gyakorlata, beleértve a felhasználónevek, jelszavak és titkosítási kulcsok bizonytalan tárolását, növeli a hitelesítő adatok lopásának kockázatát. Ez a felhasználói fiókokhoz való jogosulatlan hozzáféréshez és az érzékeny információk további veszélyeztetéséhez vezethet [3] [10].
6. Viselkedési profilozás: A billentyűzet dinamikájának és más felhasználói viselkedési adatok gyűjtése felhasználható a felhasználók részletes profiljának felépítéséhez. Ez felveti a magánélet védelmét, különösen akkor, ha ezeket az adatokat továbbítják azoknak a szervezeteknek, amelyek felhasználhatják azt nyomon követési vagy megfigyelési célokra [1] [4].
Összefoglalva: a kemény kódolású titkosítási kulcsok használata a DeepSeek alkalmazásaiban jelentősen növeli az adatsértések, az illetéktelen hozzáférés és a magánélet megsértésének kockázatát. Ezeket a kockázatokat az alkalmazás kiterjedt adatgyűjtési gyakorlata és a potenciális nemzetbiztonsági következményekkel járó szervezetekkel való kapcsolatai súlyosbítják.
Idézetek:
[1] https://ssoJet.com/blog/security-and-privacy-risks-in-deepseeks-droid-app-ossights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-criptográfiai-key%ef%bf%bc/
[3] https://blog.devolutions.net/2025/02/cybereSecurity-newsflash-researchers-find-security-vulnerabilities-in-reepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-warn-new-news-in-reepseek-ai-pp-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsesecurity.com/2025/02/experts-flag-security-privacy-rivacy-rivacy-in-deepseek-AI-App/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-reepseek-os-mobile-app/