La détection des clés de chiffrement codées en dur dans des applications comme Deepseek implique une combinaison d'inspection manuelle et d'outils automatisés. Voici une approche détaillée pour identifier de telles vulnérabilités:
Inspection manuelle
1. Revue de code: les développeurs doivent régulièrement consulter leur base de code pour toutes les valeurs codées en dur, en particulier pendant les phases de débogage. Cela comprend l'inspection des commentaires du code et de la documentation pour des informations sensibles qui auraient pu être laissées dans la base de code.
2. Examens par les pairs: La mise en œuvre des revues par les pairs peut aider à capter des secrets codés en dur au début du cycle de développement. Ce processus implique que d'autres développeurs inspectent le code pour les risques de sécurité potentiels.
Détection automatisée
1. Outils d'analyse de code statique: utilisez des outils comme le scan rapide de Black Duck statique, qui peut analyser le code source pour les secrets intégrés et les informations sensibles. Ces outils peuvent détecter automatiquement les secrets codés en dur à travers divers types et formats de fichiers.
2. Ceci est particulièrement utile pour détecter les clés codées en dur dans des applications compilées.
3. Outils open source: les outils de levier comme Frida pour l'instrumentation dynamique et l'analyse des fonctions d'application lors de l'exécution. Frida peut être utilisé pour s'accrocher aux fonctions cryptographiques et vérifier si les clés de chiffrement sont codées en dur.
4. scanners secrètes: utilisez des outils comme la truffe pour scanner des bases de code pour les secrets codés en dur. Ces outils sont conçus pour identifier les modèles qui correspondent aux types secrètes courants, tels que les clés d'API ou les clés de chiffrement.
Techniques spécifiques pour Deepseek
Compte tenu des vulnérabilités spécifiques identifiées dans Deepseek, telles que l'utilisation d'algorithmes de chiffrement symétrique (3DES) et de clés codées en dur, les techniques suivantes peuvent être appliquées:
- ingénierie inverse: utilisez des outils comme Radare2 pour rétro-ingérez l'application et identifiez les paramètres de chiffrement, y compris les clés codées en dur et les vecteurs d'initialisation.
- Analyse dynamique: utilisez Frida pour vous connecter aux fonctions de chiffrement des applications et vérifier la présence de clés codées en dur. Cela implique le traçage des appels cccrypt pour déterminer les données cryptées et déchiffrées.
En combinant ces méthodes, les développeurs et les chercheurs en sécurité peuvent détecter efficacement les clés de cryptage codées en dur dans des applications comme Deepseek, assurant de meilleures pratiques de sécurité et protéger les données des utilisateurs.
Citations:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-sffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-epseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-epseek-ai-app-a-27486