在DeepSeek应用程序中使用硬编码的加密密钥给用户数据安全和隐私带来了一些重大风险。以下是与这种做法相关的一些潜在风险:
1。数据曝光和拦截:可以轻松从应用程序的源代码中提取硬编码的加密密钥,从而允许未经授权的各方访问和解密敏感数据。对于DeepSeek来说,这尤其令人担忧,因为它收集了广泛的用户和设备数据,包括击键模式,这些模式传输到中国的服务器[1] [3] [4]。诸如3DE之类的过时的加密算法的使用进一步加剧了这种漏洞,因为已知这些算法是不安全的[1] [3] [9]。
2。缺乏钥匙旋转:一旦暴露了硬编码的密钥,就无法轻易更改它们。这意味着,即使发现了漏洞,密钥仍会妥协,直到应用程序更新为止,这可能需要时间。这种无法旋转密钥会迅速增加数据泄露的脆弱性窗口[2] [8]。
3。SQL注入和数据库风险:DeepSeek的应用程序还面临SQL注入风险,这可以使攻击者可以操纵数据库查询。当与硬编码的加密密钥结合使用时,这可以使攻击者能够访问并解密存储在数据库中的敏感用户记录[1] [4] [7]。
4。国家安全和数据主权问题:将用户数据传输到与中国国有实体相关的服务器引起了人们对数据主权和国家安全的担忧。蒂克托克(Tiktok)的母公司兽医的参与进一步使这些问题复杂化,因为中国的数据治理惯例可能包括无权监视[1] [3] [7]。
5。不安全的数据存储:DeepSeek的不安全存储实践,包括用户名,密码和加密密钥的不安全存储,增加了凭证盗窃的风险。这可能导致未经授权访问用户帐户并进一步损害敏感信息[3] [10]。
6。行为分析:击键动力学和其他用户行为数据的收集可用于构建用户的详细配置文件。这引起了隐私问题,尤其是当将这些数据传输到可能用于跟踪或监视目的的实体时[1] [4]。
总而言之,在DeepSeek应用程序中使用硬编码的加密键大大增加了数据泄露,未授权访问和侵犯隐私权的风险。这些风险是该应用程序的广泛数据收集实践及其与具有潜在国家安全影响的实体的联系所带来的。
引用:
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-android-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/xploring-cwe-321-use-of-hard-coded-cryptography-key%EF%EF%BF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerability-vulnerabilities-ind-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-aib-app-a-27486
[5] https://breachforce.net/exploiting-exposed-ectryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-security-and-privacy-flaws-in-deepseek-ios-ios-ios-mobile-app/