Å oppdage hardkodede krypteringsnøkler i applikasjoner som DeepSeek innebærer en kombinasjon av manuell inspeksjon og automatiserte verktøy. Her er en detaljert tilnærming for å identifisere slike sårbarheter:
Manuell inspeksjon
1. Kodevurdering: Utviklere bør regelmessig gjennomgå kodebasen for eventuelle hardkodede verdier, spesielt i feilsøkingsfaser. Dette inkluderer inspeksjon av kodekommentarer og dokumentasjon for sensitiv informasjon som kan ha blitt igjen i kodebasen.
2. fagfellevurderinger: Implementering av fagfellevurderinger kan bidra til å fange hardkodede hemmeligheter tidlig i utviklingssyklusen. Denne prosessen innebærer at andre utviklere inspiserer koden for potensielle sikkerhetsrisikoer.
Automatisert deteksjon
1. Statiske kodeanalyseverktøy: Bruk verktøy som Black Ducks Rapid Scan Static, som kan analysere kildekode for innebygde hemmeligheter og sensitiv informasjon. Disse verktøyene kan automatisk oppdage hardkodede hemmeligheter på tvers av forskjellige filtyper og formater.
2. Binære analyseverktøy: Verktøy som Black Duck Binary Analysis (BDBA) kan skanne endelige fraktprodukter eller containerinnhold for å finne hemmeligheter i binærene og arkiver. Dette er spesielt nyttig for å oppdage hardkodede nøkler i kompilerte applikasjoner.
3. Open source-verktøy: Utnyttverktøy som Frida for dynamisk instrumentering og analyse av appfunksjoner ved kjøretid. Frida kan brukes til å hekte seg inn i kryptofunksjoner og bekrefte om krypteringsnøkler er hardkodet.
4. Hemmelige skannere: Bruk verktøy som Trufflehog for å skanne kodebaser for hardkodede hemmeligheter. Disse verktøyene er designet for å identifisere mønstre som samsvarer med vanlige hemmelige typer, for eksempel API -nøkler eller krypteringsnøkler.
Spesifikke teknikker for DeepSeek
Gitt de spesifikke sårbarhetene som er identifisert i DeepSeek, for eksempel bruk av usikre symmetriske krypteringsalgoritmer (3DES) og hardkodede nøkler, kan følgende teknikker brukes:
- Omvendt ingeniørfag: Bruk verktøy som Radare2 for å reversere konstruerer appen og identifisere krypteringsparametere, inkludert hardkodede nøkler og initialiseringsvektorer.
- Dynamisk analyse: Bruk Frida for å hekte seg inn i appens krypteringsfunksjoner og verifisere tilstedeværelsen av hardkodede nøkler. Dette innebærer å spore CCCRYPT -anrop for å bestemme hvilke data som blir kryptert og dekryptert.
Ved å kombinere disse metodene, kan utviklere og sikkerhetsforskere effektivt oppdage hardkodede krypteringstaster i applikasjoner som Deepseek, sikre bedre sikkerhetspraksis og beskytte brukerdata.
Sitasjoner:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-Deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-flreach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds--12-000-live-api-keys-and-passwords-in-Deepseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/no/insights/deepseek-and-the-dangers-no-one-one-tells/
[7] https://securityscorecard.com/blog/a-dep-eek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-criss-in-Deepseek-ai-app-a-27486