Mendeteksi kunci enkripsi hardcoded dalam aplikasi seperti Deepseek melibatkan kombinasi inspeksi manual dan alat otomatis. Inilah pendekatan terperinci untuk mengidentifikasi kerentanan seperti itu:
Inspeksi manual
1. Tinjauan Kode: Pengembang harus secara teratur meninjau basis kode mereka untuk nilai hardcoded, terutama selama fase debugging. Ini termasuk memeriksa komentar dan dokumentasi kode untuk informasi sensitif yang mungkin ditinggalkan di basis kode.
2. Peer Reviews: Menerapkan ulasan sejawat dapat membantu menangkap rahasia hardcoded di awal siklus pengembangan. Proses ini melibatkan memiliki pengembang lain memeriksa kode untuk risiko keamanan potensial.
Deteksi Otomatis
1. Alat Analisis Kode Statis: Memanfaatkan alat -alat seperti Statis Pemindaian Rapid Black Duck, yang dapat menganalisis kode sumber untuk rahasia tertanam dan informasi sensitif. Alat -alat ini dapat secara otomatis mendeteksi rahasia hardcoded di berbagai jenis dan format file.
2. Alat Analisis Biner: Alat seperti Analisis Biner Black Duck (BDBA) dapat memindai produk pengiriman akhir atau konten kontainer untuk menemukan rahasia di biner dan arsip. Ini sangat berguna untuk mendeteksi kunci hardcoded dalam aplikasi yang dikompilasi.
3. Alat Open-Source: Alat leverage seperti Frida untuk instrumentasi dinamis dan analisis fungsi aplikasi saat runtime. Frida dapat digunakan untuk menghubungkan ke dalam fungsi crypto dan memverifikasi apakah kunci enkripsi hardcoded.
4. Pemindai Rahasia: Gunakan alat seperti trufflugog untuk memindai basis kode untuk rahasia hardcoded. Alat -alat ini dirancang untuk mengidentifikasi pola yang cocok dengan tipe rahasia umum, seperti kunci API atau kunci enkripsi.
Teknik spesifik untuk Deepseek
Mengingat kerentanan spesifik yang diidentifikasi dalam Deepseek, seperti penggunaan algoritma enkripsi simetris yang tidak aman (3DE) dan tombol hardcoded, teknik berikut dapat diterapkan:
- Reverse Engineering: Gunakan alat seperti RACARE2 untuk merekayasa ulang aplikasi dan mengidentifikasi parameter enkripsi, termasuk kunci hardcoded dan vektor inisialisasi.
- Analisis Dinamis: Mempekerjakan Frida untuk menghubungkan ke dalam fungsi enkripsi aplikasi dan memverifikasi keberadaan kunci hardcoded. Ini melibatkan melacak panggilan CCCRYPT untuk menentukan data apa yang dienkripsi dan didekripsi.
Dengan menggabungkan metode ini, pengembang dan peneliti keamanan dapat secara efektif mendeteksi kunci enkripsi hardcoded dalam aplikasi seperti Deepseek, memastikan praktik keamanan yang lebih baik dan melindungi data pengguna.
Kutipan:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-yuu-fu-freach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-andurity
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek--tor-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486