Detectarea tastelor de criptare hardcodate în aplicații precum Deepseek implică o combinație de inspecție manuală și instrumente automatizate. Iată o abordare detaliată pentru a identifica astfel de vulnerabilități:
Inspecție manuală
1. Revizuirea codului: Dezvoltatorii ar trebui să -și revizuiască în mod regulat baza de cod pentru orice valori codate, în special în timpul fazelor de depanare. Aceasta include inspecția comentariilor de cod și a documentației pentru informații sensibile care ar fi putut fi lăsate în codbase.
2. Recenzii de la egal la egal: Implementarea recenziilor de la egal la egal poate ajuta la prinderea secretelor codate la începutul ciclului de dezvoltare. Acest proces implică ca alți dezvoltatori să inspecteze codul pentru riscurile potențiale de securitate.
Detectarea automată
1. Instrumente de analiză a codului static: utilizați instrumente precum Scantul rapid de scanare rapidă a rațelor negre, care pot analiza codul sursă pentru secrete încorporate și informații sensibile. Aceste instrumente pot detecta automat secretele codate hard în diferite tipuri de fișiere și formate.
2. Instrumente de analiză binară: instrumente precum analiza binară a rațelor negre (BDBA) pot scana produsele de transport finale sau conținutul de containere pentru a găsi secrete în binare și arhive. Acest lucru este util în special pentru detectarea tastelor hardcodate în aplicații compilate.
3. Instrumente open-source: instrumente de pârghie precum FRIDA pentru instrumentarea dinamică și analiza funcțiilor APP în timpul rulării. FRIDA poate fi utilizat pentru a se conecta la funcțiile cripto -cripto și pentru a verifica dacă tastele de criptare sunt codate.
4. Scanere secrete: Utilizați instrumente precum Trufflehog pentru a scana codebase pentru secrete hardcodate. Aceste instrumente sunt concepute pentru a identifica tiparele care se potrivesc cu tipurile secrete comune, cum ar fi tastele API sau tastele de criptare.
Tehnici specifice pentru Deepseek
Având în vedere vulnerabilitățile specifice identificate în Deepseek, cum ar fi utilizarea algoritmilor de criptare simetrică nesigură (3DES) și a tastelor codate, următoarele tehnici pot fi aplicate:
- Inginerie inversă: Utilizați instrumente precum Radare2 pentru a inginerie aplicația și identifica parametrii de criptare, inclusiv tastele codate și vectorii de inițializare.
- Analiză dinamică: Utilizați FRIDA pentru a se conecta la funcțiile de criptare a aplicației și pentru a verifica prezența tastelor codate. Aceasta implică urmărirea apelurilor CCCrypt pentru a determina ce date sunt criptate și decriptate.
Prin combinarea acestor metode, dezvoltatorii și cercetătorii de securitate pot detecta eficient cheile de criptare codate în mod eficient în aplicații precum Deepseek, asigurând practici de securitate mai bune și protejând datele utilizatorilor.
Citări:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-hrech.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://ttrufflecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-despeek--training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-AI-ap-a-27486