Het detecteren van hardcode coderingssleutels in toepassingen zoals Deepseek omvat een combinatie van handmatige inspectie en geautomatiseerde tools. Hier is een gedetailleerde aanpak om dergelijke kwetsbaarheden te identificeren:
Handmatige inspectie
1. Code -review: ontwikkelaars moeten hun codebase regelmatig bekijken op hardcode waarden, vooral tijdens foutopsporingsfasen. Dit omvat het inspecteren van code -opmerkingen en documentatie op gevoelige informatie die mogelijk in de codebase is achtergelaten.
2. Peerrecensies: het implementeren van peer reviews kunnen helpen om hard gecodeerde geheimen te vangen vroeg in de ontwikkelingscyclus. In dit proces wordt andere ontwikkelaars de code laten inspecteren op potentiële beveiligingsrisico's.
Geautomatiseerde detectie
1. Statische code -analysetools: gebruik tools zoals de snelle scanstatiek van Black Duck, die de broncode kan analyseren voor ingebedde geheimen en gevoelige informatie. Deze tools kunnen automatisch hardcode geheimen in verschillende bestandstypen en -indelingen detecteren.
2. Binaire analysehulpmiddelen: tools zoals Black Duck Binary Analysis (BDBA) kunnen laatste verzendproducten of containerinhoud scannen om geheimen te vinden in binaries en archieven. Dit is met name handig voor het detecteren van hardgecodeerde toetsen in gecompileerde toepassingen.
3. Open-source tools: hefboomtools zoals Frida voor dynamische instrumentatie en analyse van app-functies tijdens runtime. Frida kan worden gebruikt om in crypto -functies aan te gaan en te verifiëren of coderingsleutels hardcode zijn.
4. Geheime scanners: gebruik hulpmiddelen zoals TruffleHog om codebases te scannen op hardcode geheimen. Deze tools zijn ontworpen om patronen te identificeren die overeenkomen met gemeenschappelijke geheime typen, zoals API -toetsen of coderingssleutels.
Specifieke technieken voor Deepseek
Gezien de specifieke kwetsbaarheden geïdentificeerd in Deepseek, zoals het gebruik van onzekere symmetrische coderingsalgoritmen (3DE's) en hardcode sleutels, kunnen de volgende technieken worden toegepast:
- Reverse Engineering: gebruik tools zoals Radare2 om de app om te reverse engineer en coderingsparameters te identificeren, inclusief hardcode toetsen en initialisatievectoren.
- Dynamische analyse: gebruik Frida om de coderingsfuncties van de app aan te sluiten en de aanwezigheid van hardcode sleutels te verifiëren. Dit omvat het traceren van CCCrypt -oproepen om te bepalen welke gegevens worden gecodeerd en gedecodeerd.
Door deze methoden te combineren, kunnen ontwikkelaars en beveiligingsonderzoekers hardcode coderingssleutels effectief detecteren in applicaties zoals DeepSeek, waardoor betere beveiligingspraktijken worden gewaarborgd en gebruikersgegevens worden beschermd.
Citaten:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-Keys-and-passwords-in-Deepseek-s-training-gegevens
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-codeed-secrets
[9] https://www.bankinfosecurity.com/Security-SeSearchers-Warn-new-risks-in-Deepseek-AIP-A-27486