Deepseek'in uygulamalarında sabit kodlanmış şifreleme anahtarlarının kullanılması, kullanıcı veri güvenliği ve gizliliği için birkaç önemli risk oluşturmaktadır. İşte bu uygulama ile ilişkili potansiyel risklerden bazıları:
1. Veri maruziyeti ve müdahale: Sabit kodlanmış şifreleme anahtarları, uygulamanın kaynak kodundan kolayca çıkarılabilir ve yetkisiz tarafların hassas verilere erişmesine ve şifresini çözmesine izin verir. Bu, özellikle Çin'deki sunuculara iletilen tuş vuruşu desenleri de dahil olmak üzere kapsamlı kullanıcı ve cihaz verilerini topladığı için Deepseek ile ilgilidir [1] [3] [4]. 3DES gibi modası geçmiş şifreleme algoritmalarının kullanılması, bu algoritmaların güvensiz olduğu bilinmektedir [1] [3] [9].
2. Anahtar rotasyon eksikliği: Sabit kodlanmış anahtarlar ortaya çıktıktan sonra kolayca değiştirilemezler. Bu, güvenlik açığı keşfedilse bile, uygulama güncellenene kadar anahtarların tehlikeye girdiği anlamına gelir. Bu anahtarları döndürememe, veri ihlalleri için güvenlik açığı penceresini hızla arttırır [2] [8].
3. SQL Enjeksiyon ve Veritabanı Riskleri: Deepseek uygulamaları, saldırganların veritabanı sorgularını manipüle etmesine izin verebilecek SQL enjeksiyon riskleriyle de karşı karşıyadır. Sabit kodlanmış şifreleme anahtarları ile birleştirildiğinde, bu, saldırganların veritabanında depolanan hassas kullanıcı kayıtlarına erişmesini ve şifresini çözmesini sağlayabilir [1] [4] [7].
4. Ulusal Güvenlik ve Veri Egemenliği Endişeleri: Kullanıcı verilerinin Çin devletlerine bağlı kuruluşlara bağlı sunuculara iletilmesi, veri egemenliği ve ulusal güvenlik konusunda endişeleri gündeme getirmektedir. Tiktok'un ana şirketi olan baytanın katılımı, Çin'in garantisiz gözetimi içerebilecek veri yönetişim uygulamaları nedeniyle bu sorunları daha da karmaşıklaştırmaktadır [1] [3] [7].
5. Güvensiz veri depolama: Deepseek'in kullanıcı adlarının, şifrelerin ve şifreleme anahtarlarının güvensiz depolanması da dahil olmak üzere güvensiz depolama uygulamaları, kimlik bilgisi hırsızlığı riskini artırır. Bu, kullanıcı hesaplarına yetkisiz erişime yol açabilir ve hassas bilgileri daha da tehlikeye atabilir [3] [10].
6. Davranışsal profil oluşturma: Tuşstrok dinamiklerinin toplanması ve diğer kullanıcı davranış verileri kullanıcıların ayrıntılı profillerini oluşturmak için kullanılabilir. Bu, özellikle bu tür veriler, izleme veya gözetim amacıyla kullanabilecek varlıklara iletildiğinde gizlilik endişelerini gündeme getirir [1] [4].
Özetle, Deepseek'in uygulamalarında sabit kodlanmış şifreleme anahtarlarının kullanılması, veri ihlalleri, yetkisiz erişim ve gizlilik ihlalleri riskini önemli ölçüde artırır. Bu riskler, uygulamanın kapsamlı veri toplama uygulamaları ve potansiyel ulusal güvenlik etkileri olan varlıklara olan bağlantıları ile birleşir.
Alıntılar:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/expling-cwe-321-use-of-hardcoded-cryptographic-ey%ef%bf%bc/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchersfind-security-vulnerability-in-depseek-for-ios/
[4] https://www.bankinfosecurity.com/security-searchers-warn-new-risket-in-epseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-xpososed-supryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-depe-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerity-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-eepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-ncovers-multiple-cerity-and-privacy-flaws-in-depseek-ios-mobile-app/