DeepSeek에서 하드 코딩 된 암호화 키를 어떻게 감지 할 수 있습니까?

수동 검사

1. 코드 검토 : 개발자는 특히 디버깅 단계에서 하드 코드 값에 대해 코드베이스를 정기적으로 검토해야합니다. 여기에는 코드베이스에 남은 민감한 정보에 대한 코드 주석 검사 및 문서가 포함됩니다.

2. 피어 리뷰 : 동료 검토 구현은 개발주기 초기에 하드 코드 비밀을 잡는 데 도움이 될 수 있습니다. 이 프로세스에는 다른 개발자가 잠재적 보안 위험에 대해 코드를 검사하도록하는 것이 포함됩니다.

자동 감지

1. 정적 코드 분석 도구 : Black Duck의 빠른 스캔 정적과 같은 도구를 활용하여 내장 된 비밀 및 민감한 정보에 대한 소스 코드를 분석 할 수 있습니다. 이러한 도구는 다양한 파일 유형과 형식에서 하드 코드 비밀을 자동으로 감지 할 수 있습니다.

2. 바이너리 분석 도구 : BDBA (Black Duck Binary Analysis)와 같은 도구는 최종 배송 제품 또는 컨테이너 내용을 스캔하여 바이너리 및 아카이브의 비밀을 찾을 수 있습니다. 이는 컴파일 된 응용 프로그램에서 하드 코드 키를 감지하는 데 특히 유용합니다.

3. 오픈 소스 도구 : 런타임시 동적 계측 및 앱 기능 분석을 위해 Frida와 같은 도구를 활용하십시오. Frida는 암호화 기능에 연결되어 암호화 키가 하드 코드인지 확인하는 데 사용될 수 있습니다.

4. 비밀 스캐너 : 트러플 호그와 같은 도구를 사용하여 코드베이스를 스캔하여 하드 코딩 된 비밀을 스캔합니다. 이 도구는 API 키 또는 암호화 키와 같은 일반적인 비밀 유형과 일치하는 패턴을 식별하도록 설계되었습니다.

DeepSeek를위한 특정 기술

불안정한 대칭 암호화 알고리즘 (3DES) 및 하드 코딩 키 사용과 같은 DeepSeek에서 식별 된 특정 취약점을 고려할 때 다음 기술을 적용 할 수 있습니다.

- 리버스 엔지니어링 : Radare2와 같은 도구를 사용하여 앱을 리버스 엔지니어링하고 하드 코딩 키 및 초기화 벡터를 포함한 암호화 매개 변수를 식별하십시오.

- 동적 분석 : Frida를 사용하여 앱의 암호화 기능에 연결하고 하드 코드 키의 존재를 확인하십시오. 여기에는 CCCrypt 호출을 추적하여 암호화 및 해독 될 데이터를 결정하는 것이 포함됩니다.

이러한 방법을 결합함으로써 개발자와 보안 연구원은 DeepSeek와 같은 응용 프로그램에서 하드 코드 암호화 키를 효과적으로 감지하여 더 나은 보안 관행을 보장하고 사용자 데이터를 보호 할 수 있습니다.

인용 :
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-fipseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-andecurity
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-in-deepseek-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-on-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486