การใช้คีย์การเข้ารหัสฮาร์ดโค้ดในแอปพลิเคชันของ Deepseek มีความเสี่ยงที่สำคัญหลายประการต่อความปลอดภัยของข้อมูลผู้ใช้และความเป็นส่วนตัว นี่คือความเสี่ยงที่อาจเกิดขึ้นกับการปฏิบัตินี้:
1. การเปิดรับข้อมูลและการสกัดกั้น: ปุ่มเข้ารหัสแบบ hardcoded สามารถดึงออกจากซอร์สโค้ดของแอปพลิเคชันได้อย่างง่ายดายทำให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงและถอดรหัสข้อมูลที่ละเอียดอ่อน สิ่งนี้เกี่ยวข้องกับ Deepseek โดยเฉพาะอย่างยิ่งเนื่องจากรวบรวมข้อมูลผู้ใช้และอุปกรณ์ที่กว้างขวางรวมถึงรูปแบบการกดแป้นพิมพ์ซึ่งส่งไปยังเซิร์ฟเวอร์ในประเทศจีน [1] [3] [4] การใช้อัลกอริทึมการเข้ารหัสที่ล้าสมัยเช่น 3DES ทำให้รุนแรงขึ้นทำให้เกิดช่องโหว่นี้เนื่องจากอัลกอริทึมเหล่านี้เป็นที่รู้จักกันว่าไม่ปลอดภัย [1] [3] [9]
2. การขาดการหมุนที่สำคัญ: เมื่อมีการเปิดเผยปุ่ม hardcoded พวกเขาจะไม่สามารถเปลี่ยนแปลงได้ง่าย ซึ่งหมายความว่าแม้ว่าจะมีการค้นพบช่องโหว่ แต่ปุ่มยังคงถูกบุกรุกจนกว่าแอปพลิเคชันจะได้รับการปรับปรุงซึ่งอาจใช้เวลา การไร้ความสามารถในการหมุนปุ่มนี้จะเพิ่มหน้าต่างช่องโหว่อย่างรวดเร็วสำหรับการละเมิดข้อมูล [2] [8]
3. การฉีด SQL และความเสี่ยงของฐานข้อมูล: แอปพลิเคชันของ Deepseek ยังเผชิญกับความเสี่ยงในการฉีด SQL ซึ่งสามารถอนุญาตให้ผู้โจมตีจัดการกับการสืบค้นฐานข้อมูล เมื่อรวมกับปุ่มเข้ารหัสแบบ hardcoded สิ่งนี้สามารถช่วยให้ผู้โจมตีสามารถเข้าถึงและถอดรหัสบันทึกผู้ใช้ที่ละเอียดอ่อนที่เก็บไว้ในฐานข้อมูล [1] [4] [7]
4. ความกังวลด้านความมั่นคงและข้อมูลอำนาจอธิปไตยของข้อมูล: การส่งข้อมูลผู้ใช้ไปยังเซิร์ฟเวอร์ที่เชื่อมโยงกับหน่วยงานที่รัฐเป็นเจ้าของของจีนทำให้เกิดความกังวลเกี่ยวกับอำนาจอธิปไตยของข้อมูลและความมั่นคงของชาติ การมีส่วนร่วมของ BATTEDANCE บริษัท แม่ของ Tiktok ทำให้ปัญหาเหล่านี้ซับซ้อนขึ้นเนื่องจากการปฏิบัติด้านการกำกับดูแลข้อมูลของจีนซึ่งอาจรวมถึงการเฝ้าระวังที่ไม่มีการรับประกัน [1] [3] [7]
5. การจัดเก็บข้อมูลที่ไม่ปลอดภัย: แนวทางการจัดเก็บข้อมูลที่ไม่ปลอดภัยของ Deepseek รวมถึงการจัดเก็บชื่อผู้ใช้ที่ไม่ปลอดภัยรหัสผ่านและปุ่มเข้ารหัสเพิ่มความเสี่ยงของการขโมยข้อมูลรับรอง สิ่งนี้สามารถนำไปสู่การเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาตและประนีประนอมข้อมูลที่ละเอียดอ่อนต่อไป [3] [10]
6. การทำโปรไฟล์เชิงพฤติกรรม: การรวบรวมการกดแป้นพิมพ์และข้อมูลพฤติกรรมผู้ใช้อื่น ๆ สามารถใช้ในการสร้างโปรไฟล์รายละเอียดของผู้ใช้ สิ่งนี้ทำให้เกิดความกังวลเกี่ยวกับความเป็นส่วนตัวโดยเฉพาะอย่างยิ่งเมื่อข้อมูลดังกล่าวถูกส่งไปยังหน่วยงานที่อาจใช้เพื่อการติดตามหรือการเฝ้าระวัง [1] [4]
โดยสรุปการใช้คีย์การเข้ารหัสแบบ hardcoded ในแอปพลิเคชันของ Deepseek เพิ่มความเสี่ยงของการละเมิดข้อมูลการเข้าถึงที่ไม่ได้รับอนุญาตและการละเมิดความเป็นส่วนตัว ความเสี่ยงเหล่านี้ประกอบไปด้วยแนวทางปฏิบัติในการรวบรวมข้อมูลที่กว้างขวางของแอปและการเชื่อมต่อกับหน่วยงานที่มีผลกระทบด้านความมั่นคงแห่งชาติที่อาจเกิดขึ้น
การอ้างอิง:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptographic-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilitial-in-deepseek-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.ownowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/