DeepSeekのようなアプリケーションでハードコーディングされた暗号化キーを検出するには、手動検査と自動化されたツールの組み合わせが含まれます。このような脆弱性を特定するための詳細なアプローチは次のとおりです。
###手動検査
1。コードレビュー:開発者は、特にデバッグフェーズ中に、ハードコードされた値についてコードベースを定期的に確認する必要があります。これには、コードベースに残されている可能性のある機密情報のコードコメントとドキュメントの検査が含まれます。
2。ピアレビュー:ピアレビューの実装は、開発サイクルの早い段階でハードコーディングされた秘密をキャッチするのに役立ちます。このプロセスでは、他の開発者にセキュリティリスクの潜在的なリスクについてコードを検査させることが含まれます。
###自動検出
1.静的コード分析ツール:Black Duckの迅速なスキャン静的などのツールを利用して、埋め込まれた秘密と機密情報のソースコードを分析できます。これらのツールは、さまざまなファイルの種類と形式でハードコーディングされた秘密を自動的に検出できます。
2。バイナリ分析ツール:ブラックダックバイナリ分析(BDBA)などのツールは、最終配送製品またはコンテナコンテンツをスキャンして、バイナリやアーカイブの秘密を見つけることができます。これは、コンパイルされたアプリケーションでハードコーディングキーを検出するのに特に役立ちます。
3.オープンソースツール:フリーダのようなツールを活用して、実行時にアプリ機能の動的機器と分析を分析します。 FRIDAを使用して、暗号機能に接続し、暗号化キーがハードコードされているかどうかを確認できます。
4。シークレットスキャナー:トリュフホッグなどのツールを使用して、ハードコーディングされた秘密のコードベースをスキャンします。これらのツールは、APIキーや暗号化キーなど、一般的な秘密タイプに一致するパターンを識別するように設計されています。
Deepseekの特定のテクニック
DeepSeekで特定された特定の脆弱性を考えると、安全ではない対称暗号化アルゴリズム(3DES)やハードコーディングキーの使用など、次の手法を適用できます。
- リバースエンジニアリング:Radare2などのツールを使用して、アプリをリバースエンジニアリングし、ハードコードキーや初期化ベクトルなどの暗号化パラメーターを識別します。
- 動的分析:FRIDAを使用してアプリの暗号化関数に接続し、ハードコーディングされたキーの存在を検証します。これには、CCCRYPTコールをトレースして、暗号化および復号化されているデータを決定します。
これらの方法を組み合わせることにより、開発者とセキュリティ研究者は、DeepSeekなどのアプリケーションでハードコーディングされた暗号化キーを効果的に検出し、セキュリティプラクティスを改善し、ユーザーデータを保護できます。
引用:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-beyouyou-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-tells//
[7] https://securityscorecard.com/blog/a-deep-peek-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486