A detecção de chaves de criptografia codificada em aplicativos como o Deepseek envolve uma combinação de inspeção manual e ferramentas automatizadas. Esta é uma abordagem detalhada para identificar essas vulnerabilidades:
Inspeção manual
1. Revisão do código: os desenvolvedores devem revisar regularmente sua base de código para obter valores codificados, especialmente durante as fases de depuração. Isso inclui a inspeção de comentários do código e documentação para obter informações confidenciais que podem ter sido deixadas na base de código.
2. Revisões por pares: A implementação de revisões por pares pode ajudar a capturar segredos codificados no início do ciclo de desenvolvimento. Esse processo envolve que outros desenvolvedores inspecionem o código para possíveis riscos de segurança.
Detecção automatizada
1. Ferramentas de análise de código estático: Utilize ferramentas como a rápida varredura da Black Duck, que pode analisar o código -fonte para segredos incorporados e informações confidenciais. Essas ferramentas podem detectar automaticamente segredos codificados em vários tipos e formatos de arquivo.
2. Ferramentas de análise binária: ferramentas como análise binária de pato preto (BDBA) podem digitalizar produtos finais de remessa ou conteúdo de contêineres para encontrar segredos em binários e arquivos. Isso é particularmente útil para detectar chaves codificadas em aplicativos compilados.
3. Ferramentas de código aberto: alavancam ferramentas como o FRIDA para instrumentação dinâmica e análise das funções do aplicativo em tempo de execução. O FRIDA pode ser usado para conectar -se às funções criptográficas e verificar se as teclas de criptografia são codificadas.
4. Scanners secretos: use ferramentas como truffflehog para digitalizar bases de código em busca de segredos codificados. Essas ferramentas foram projetadas para identificar padrões que correspondem a tipos secretos comuns, como teclas de API ou teclas de criptografia.
técnicas específicas para Deepseek
Dadas as vulnerabilidades específicas identificadas na Deepseek, como o uso de algoritmos de criptografia simétrica insegura (3DEs) e chaves codificadas, as seguintes técnicas podem ser aplicadas:
- Engenharia reversa: use ferramentas como o Radue2 para engenharia reversa do aplicativo e identificar parâmetros de criptografia, incluindo teclas codificadas e vetores de inicialização.
- Análise dinâmica: Empregue Frida para conectar -se às funções de criptografia do aplicativo e verifique a presença de chaves codificadas. Isso envolve rastrear chamadas de CCCrypt para determinar quais dados estão sendo criptografados e descriptografados.
Ao combinar esses métodos, os desenvolvedores e pesquisadores de segurança podem efetivamente detectar chaves de criptografia codificadas em aplicativos como Deepseek, garantindo melhores práticas de segurança e protegendo os dados do usuário.
Citações:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-neepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-wefore-you-suffer-broach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-kys-and-sasswords-in-Deepseek-S-Trinting-Data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486