Wykrywanie hardkodowanych kluczy szyfrowania w aplikacjach takich jak DeepSeek obejmuje połączenie ręcznej kontroli i zautomatyzowanych narzędzi. Oto szczegółowe podejście do identyfikacji takich luk:
Inspekcja ręczna
1. Przegląd kodu: programiści powinni regularnie sprawdzać swoją bazę kodową pod kątem wartości stajonych, szczególnie podczas faz debugowania. Obejmuje to sprawdzenie komentarzy kodu i dokumentacji poufnych informacji, które mogły zostać pozostawione w bazie kodowej.
2. Wzgórze: wdrażanie recenzji może pomóc w złapaniu skodowanych tajemnic na początku cyklu rozwoju. Proces ten polega na tym, aby inni programiści sprawdzili kod pod kątem potencjalnych zagrożeń bezpieczeństwa.
Zautomatyzowane wykrywanie
1. Narzędzia do analizy kodu statycznego: Wykorzystaj narzędzia takie jak Rapid Scan Scan Static, które mogą analizować kod źródłowy pod kątem wbudowanych tajemnic i poufnych informacji. Narzędzia te mogą automatycznie wykrywać skodowane tajemnice w różnych typach i formatach plików.
2 Jest to szczególnie przydatne do wykrywania klawisowanych klawiszy w skompilowanych aplikacjach.
3. Narzędzia typu open source: Narzędzia dźwigni takie jak Frida do dynamicznego oprzyrządowania i analizy funkcji aplikacji w czasie wykonywania. Frida może być używana do zaczepiania się do funkcji kryptowalutowych i sprawdzenia, czy klawisze szyfrowania są uprawiane.
4. Tajne skanery: Użyj narzędzi takich jak TruffleHog do skanowania baz kodowych w poszukiwaniu tajemnic zakodowanych. Narzędzia te są zaprojektowane do identyfikacji wzorców pasujących do typowych tajnych typów, takich jak klucze API lub klucze szyfrowania.
konkretne techniki dla Deepseek
Biorąc pod uwagę szczególne luki zidentyfikowane w Deepseek, takie jak użycie niepewnych algorytmów szyfrowania symetrycznego (3DE) i klawiszy hardkodowanych, można zastosować następujące techniki:
- Inżynieria odwrotna: Użyj narzędzi takich jak Radare2, aby odwrócić inżynierię aplikacji i zidentyfikować parametry szyfrowania, w tym klawisze z hardkodem i wektory inicjalizacji.
- Analiza dynamiczna: Zastosuj Frida, aby zaczepić się do funkcji szyfrowania aplikacji i zweryfikuj obecność klawiszy zakodowanych. Obejmuje to śledzenie wywołań CCCRYPT w celu ustalenia, jakie dane są szyfrowane i odszyfrowane.
Łącząc te metody, programiści i badacze bezpieczeństwa mogą skutecznie wykrywać zakodowane klucze szyfrowania w aplikacjach takich jak DeepSeek, zapewniając lepsze praktyki bezpieczeństwa i chroniąc dane użytkowników.
Cytaty:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-be-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-varn-new-risks-in-deepseek-ai-app-a-27486