Das Erkennen von hartcodierten Verschlüsselungsschlüssel in Anwendungen wie Deepseek beinhaltet eine Kombination aus manueller Inspektion und automatisierte Werkzeuge. Hier ist ein detaillierter Ansatz, um solche Schwachstellen zu identifizieren:
Manuelle Inspektion
1. Code Review: Entwickler sollten ihre Codebasis regelmäßig für alle hartcodierten Werte überprüfen, insbesondere während Debugging -Phasen. Dies beinhaltet die Überprüfung von Code -Kommentaren und Dokumentation für sensible Informationen, die möglicherweise in der Codebasis übrig geblieben sind.
2. Peer Reviews: Durch die Implementierung von Peer -Bewertungen können Sie zu Beginn des Entwicklungszyklus hartcodierte Geheimnisse fangen. Bei diesem Prozess werden andere Entwickler den Code auf potenzielle Sicherheitsrisiken inspizieren.
Automatisierte Erkennung
1. Tools für statische Codeanalyse: Verwenden Sie Tools wie Black Entens Rapid Scan Static, mit denen der Quellcode für eingebettete Geheimnisse und sensible Informationen analysiert werden kann. Diese Tools können automatisch hartcodierte Geheimnisse über verschiedene Dateitypen und -formate erkennen.
2. Tools mit Binäranalyse: Tools wie Black Duck Binary Analysis (BDBA) können endgültige Versandprodukte oder Containergehalte scannen, um Geheimnisse in Binärdateien und Archiven zu finden. Dies ist besonders nützlich, um hartcodierte Schlüssel in kompilierten Anwendungen zu erkennen.
3. Open-Source-Tools: Nutzen Sie Tools wie Frida für dynamische Instrumente und Analyse von App-Funktionen zur Laufzeit. Frida kann verwendet werden, um sich in Kryptofunktionen einzuschließen und zu überprüfen, ob Verschlüsselungsschlüssel festcodiert sind.
4. Secret Scanner: Verwenden Sie Tools wie TruffleHog, um Codebasen für hartcodierte Geheimnisse zu scannen. Diese Tools sind so konzipiert, dass Muster identifiziert werden, die gemeinsame geheime Typen wie API -Schlüssel oder Verschlüsselungsschlüssel entsprechen.
Spezifische Techniken für Deepseek
Angesichts der spezifischen Schwachstellen, die in Deepseek identifiziert wurden, wie der Verwendung unsicherer symmetrischer Verschlüsselungsalgorithmen (3DEs) und hartcodierten Schlüssel, können die folgenden Techniken angewendet werden:
- Reverse Engineering: Verwenden Sie Tools wie Radare2, um die App umzukehren und Verschlüsselungsparameter, einschließlich hartcodierter Schlüssel und Initialisierungsvektoren, zu identifizieren.
- Dynamische Analyse: Verwenden Sie Frida, um sich in die Verschlüsselungsfunktionen der App einzuschließen und das Vorhandensein hartcodierter Schlüssel zu überprüfen. Dies beinhaltet die Verfolgung von CCCRypt -Aufrufen, um zu bestimmen, welche Daten verschlüsselt und entschlüsselt werden.
Durch die Kombination dieser Methoden können Entwickler und Sicherheitsforscher hartcodierte Verschlüsselungsschlüssel in Anwendungen wie Deepseek effektiv erkennen, um bessere Sicherheitspraktiken zu gewährleisten und Benutzerdaten zu schützen.
Zitate:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security---privacy-flaws-in-peepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-tecrets-before-you-suffer-a--breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-teepseek--training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-leep-peek-at-teepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-epseek-ai-app-a-27486