Detekce pevně kódovaných šifrovacích klíčů v aplikacích, jako je DeepSeek, zahrnuje kombinaci ruční kontroly a automatizovaných nástrojů. Zde je podrobný přístup k identifikaci takových zranitelnosti:
Manuální inspekce
1. Přezkum kódu: Vývojáři by měli pravidelně kontrolovat svou kódovou základnu pro jakékoli pevně zakódované hodnoty, zejména během fází ladění. To zahrnuje kontrolu komentářů a dokumentace kódu pro citlivé informace, které mohly být ponechány v kódové základně.
2. recenze vzájemného vzájemného vztahu: Implementace recenzí vzájemných hodnot může na začátku vývojového cyklu pomoci zachytit tvrdá tajemství. Tento proces zahrnuje, aby ostatní vývojáři zkontrolovali kód pro potenciální bezpečnostní rizika.
Automatizovaná detekce
1.. Nástroje pro analýzu statického kódu: Využijte nástroje, jako je Rychlá skenování Black Duck, která může analyzovat zdrojový kód pro vložená tajemství a citlivé informace. Tyto nástroje mohou automaticky detekovat pevně kódovaná tajemství napříč různými typy a formáty souborů.
2. Nástroje binární analýzy: Nástroje, jako je binární analýza Black Duck (BDBA), mohou skenovat konečné přepravní produkty nebo obsah kontejnerů a najít tajemství v binárních souborech a archivech. To je zvláště užitečné pro detekci pevně kódovaných klíčů v kompilovaných aplikacích.
3. Nástroje s otevřeným zdrojovým kódem: Pákové nástroje jako Frida pro dynamické instrumentace a analýza funkcí aplikací za běhu. Frida lze použít k připojení do kryptových funkcí a ověření, zda jsou šifrovací klíče pevně zakódovány.
4. Tajné skenery: Použijte nástroje jako TruffleHog ke skenování kódových zásad pro pevně zakódovaná tajemství. Tyto nástroje jsou navrženy tak, aby identifikovaly vzory, které odpovídají běžným tajným typům, jako jsou klíče API nebo šifrovací klíče.
Specifické techniky pro DeepSeek
Vzhledem k specifickým zranitelnostem identifikovaným v Deepseeku, jako je použití nejistých symetrických šifrovacích algoritmů (3DE) a pevných klíčů, lze použít následující techniky:
- Reverzní inženýrství: Použijte nástroje jako Radare2 k reverznímu inženýrství aplikace a identifikace parametrů šifrování, včetně pevně zakódovaných klíčů a inicializačních vektorů.
- Dynamická analýza: Použijte FRIDA, abyste se připojili k šifrovacím funkcím aplikací a ověřovali přítomnost pevně zakódovaných klíčů. To zahrnuje sledování volání CCCRYPT k určení, která data jsou šifrována a dešifrovaná.
Kombinací těchto metod mohou vývojáři a vědci zabezpečení efektivně detekovat pevně zakódované šifrovací klíče v aplikacích, jako je DeepSeek, zajistit lepší bezpečnostní postupy a chránit uživatelská data.
Citace:
[1] https://www.nowscure.com/blog/2025/02/06/nowSecure-Uncovers--security-and-privacy-flaws-in-deepseek-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://truffleSecurity.com/blog/research-finds-12-000-live-api-keys-andwords in-diepseek-t-the-ttata
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-anda-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deeepseek-app-a-27486