Обнаружение жестких клавиш шифрования в таких приложениях, как DeepSeek, включает в себя комбинацию ручной проверки и автоматических инструментов. Вот подробный подход для выявления таких уязвимостей:
Ручная проверка
1. Обзор кода: разработчики должны регулярно просматривать свою кодовую базу на наличие любых жестких значений, особенно на этапах отладки. Это включает в себя проверку комментариев кода и документацию на наличие конфиденциальной информации, которая могла быть оставлена в кодовой базе.
2. Оценки сверстников: реализация рецензий может помочь поймать твердые секреты в начале цикла разработки. Этот процесс включает в себя наличие других разработчиков осматривать код на наличие потенциальных рисков безопасности.
Автоматическое обнаружение
1. Static Code Analysis Tools: Utilize tools like Black Duckâs Rapid Scan Static, which can analyze source code for embedded secrets and sensitive information. Эти инструменты могут автоматически обнаружить твердый кодированный секреты по различным типам и форматам файлов.
2. Инструменты бинарного анализа: такие инструменты, как бинарный анализ Black Duck (BDBA), могут сканировать окончательные продукты доставки или содержимое контейнера, чтобы найти секреты в двоичных файлах и архивах. Это особенно полезно для обнаружения жестко -кодированных ключей в скомпилированных приложениях.
3. Инструменты с открытым исходным кодом: используют инструменты, такие как FRIDA для динамического инструментария и анализа функций приложений во время выполнения. FRIDA можно использовать для подключения к крипто -функциям и проверить, являются ли клавиши шифрования жестко кодированы.
4. Секретные сканеры: используйте такие инструменты, как Trufflehog, чтобы сканировать кодовые базы для жестких секретов. Эти инструменты предназначены для определения шаблонов, которые соответствуют общим типам секретов, таким как клавиши API или клавиши шифрования.
Специальные методы для DeepSeek
Учитывая конкретные уязвимости, выявленные в DeepSeek, таких как использование небезопасных алгоритмов симметричного шифрования (3DE) и жестко -кодированных ключей, можно применять следующие методы:
- Обратная инженерия: используйте такие инструменты, как Radare2 для обратного инженера приложения и идентификации параметров шифрования, включая жесткие клавиши и векторы инициализации.
- Динамический анализ: используйте FRIDA, чтобы зацепить функции шифрования приложений и проверить наличие твердых кодированных ключей. Это включает в себя отслеживание вызовов CCCRYPT, чтобы определить, какие данные зашифруются и расшифровываются.
Объединив эти методы, разработчики и исследователи безопасности могут эффективно обнаружить клавиши в жесткости шифрования в таких приложениях, как DeepSeek, обеспечивая лучшие методы безопасности и защиту пользовательских данных.
Цитаты:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-sion-and-privacy-flaws-indeepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-freach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486