Η ανίχνευση των πλήκτρων κρυπτογράφησης με σκληρό κωδικοποιημένο κώδικα σε εφαρμογές όπως το DeepSeek περιλαμβάνει ένα συνδυασμό χειροκίνητης επιθεώρησης και αυτοματοποιημένων εργαλείων. Εδώ είναι μια λεπτομερής προσέγγιση για τον εντοπισμό τέτοιων τρωτών σημείων:
Χειροκίνητη επιθεώρηση
1. Αναθεώρηση κώδικα: Οι προγραμματιστές θα πρέπει να επανεξετάζουν τακτικά το codebase τους για οποιεσδήποτε τιμές με σκληρό κωδικοποιημένο, ειδικά κατά τη διάρκεια των φάσεων εντοπισμού σφαλμάτων. Αυτό περιλαμβάνει την επιθεώρηση των σχολίων κώδικα και της τεκμηρίωσης για ευαίσθητες πληροφορίες που θα μπορούσαν να έχουν μείνει στο codebase.
2. Κριτικές από ομοτίμους: Η εφαρμογή αξιολογήσεων από ομοτίμους μπορεί να βοηθήσει να πιάσει σκληρά κωδικοποιημένα μυστικά νωρίς στον κύκλο ανάπτυξης. Αυτή η διαδικασία περιλαμβάνει την κατοχή άλλων προγραμματιστών επιθεωρούν τον κώδικα για πιθανούς κινδύνους ασφαλείας.
Αυτοματοποιημένη ανίχνευση
1. Εργαλεία ανάλυσης στατικού κώδικα: Χρησιμοποιήστε εργαλεία όπως η ταχεία σάρωση της μαύρης πάπιας, τα οποία μπορούν να αναλύσουν τον πηγαίο κώδικα για ενσωματωμένα μυστικά και ευαίσθητες πληροφορίες. Αυτά τα εργαλεία μπορούν να ανιχνεύσουν αυτόματα τα μυστικά που έχουν υποστεί κώδικα σε διάφορους τύπους αρχείων και μορφές.
2. Εργαλεία δυαδικής ανάλυσης: Εργαλεία όπως Black Duck Binary Analysis (BDBA) μπορούν να σαρώσουν τα τελικά προϊόντα αποστολής ή τα περιεχόμενα των εμπορευματοκιβωτίων για να βρουν μυστικά σε δυαδικά αρχεία και αρχεία. Αυτό είναι ιδιαίτερα χρήσιμο για την ανίχνευση hardcoded κλειδιά σε εφαρμογές που έχουν καταρτιστεί.
3. Εργαλεία ανοικτού κώδικα: Εργαλεία εκμετάλλευσης όπως η Frida για δυναμικά όργανα και ανάλυση των λειτουργιών εφαρμογών κατά το χρόνο εκτέλεσης. Η Frida μπορεί να χρησιμοποιηθεί για να συνδεθεί σε λειτουργίες κρυπτογράφησης και να επαληθεύσει εάν τα πλήκτρα κρυπτογράφησης είναι σκληρά κωδικοποιημένα.
4. Secret Scanners: Χρησιμοποιήστε εργαλεία όπως το TruffleHog για να σαρώσετε τις κωδικοποιήσεις για σκληρά κωδικοποιημένα μυστικά. Αυτά τα εργαλεία έχουν σχεδιαστεί για να εντοπίζουν μοτίβα που ταιριάζουν με τους κοινούς μυστικούς τύπους, όπως κλειδιά API ή κλειδιά κρυπτογράφησης.
Ειδικές τεχνικές για το Deepseek
Δεδομένων των ειδικών τρωτών σημείων που προσδιορίζονται στο Deepseek, όπως η χρήση ανασφαλών συμμετρικών αλγορίθμων κρυπτογράφησης (3DEs) και hardcoded, μπορούν να εφαρμοστούν οι ακόλουθες τεχνικές:
- Αντίστροφη μηχανική: Χρησιμοποιήστε εργαλεία όπως το RADARE2 για να αντιστρέψετε την εφαρμογή και να αναγνωρίσετε τις παραμέτρους κρυπτογράφησης, συμπεριλαμβανομένων των πλήκτρων hardcoded και των φορέων αρχικοποίησης.
- Δυναμική ανάλυση: Χρησιμοποιήστε τη FRIDA για να συνδεθείτε στις λειτουργίες κρυπτογράφησης της εφαρμογής και να επαληθεύσετε την παρουσία των πλήκτρων Hardcoded. Αυτό περιλαμβάνει την ανίχνευση των κλήσεων CCCrypt για να καθορίσει ποια δεδομένα κρυπτογραφούνται και αποκρυπτογραφούνται.
Συνδυάζοντας αυτές τις μεθόδους, οι προγραμματιστές και οι ερευνητές ασφαλείας μπορούν να ανιχνεύσουν αποτελεσματικά τα κλειδιά κρυπτογράφησης με σκληρό κωδικοποιημένο κώδικα σε εφαρμογές όπως το DeepSeek, εξασφαλίζοντας καλύτερες πρακτικές ασφάλειας και προστατεύοντας τα δεδομένα των χρηστών.
Αναφορές:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-ands-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s-data-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-news-in-deepseek-ai-app-a-27486