Cietu kodētu šifrēšanas taustiņu noteikšana tādās lietojumprogrammās kā DeepSeek ietver manuālas pārbaudes un automatizētu rīku kombināciju. Šeit ir detalizēta pieeja šādas ievainojamības identificēšanai:
Manuāla pārbaude
1. Koda pārskats: Izstrādātājiem regulāri jāpārskata kodu bāze, lai iegūtu visas cietās kodas vērtības, it īpaši atkļūdošanas fāzēs. Tas ietver koda komentāru pārbaudi un sensitīvas informācijas dokumentāciju, kas varētu būt atstāta kodu bāzē.
2. Salīdzinošās atsauksmes: Peer pārskatu ieviešana var palīdzēt noķert cietos kodus noslēpumus attīstības cikla sākumā. Šis process ietver to, ka citi izstrādātāji pārbauda, vai kodeksā nav iespējamu drošības risku.
automatizēta noteikšana
1. Statiskā koda analīzes rīki: izmantojiet tādus rīkus kā Black Duck Rapid Scan Static, kas var analizēt iegulto noslēpumu un sensitīvas informācijas avota kodu. Šie rīki var automātiski noteikt cietos kodus noslēpumus dažādos failu veidos un formātos.
2. Bināro analīzes rīki: tādi rīki kā melnā pīles binārā analīze (BDBA) var skenēt galīgos piegādes produktus vai konteineru saturu, lai atrastu noslēpumus bināros un arhīvos. Tas ir īpaši noderīgi, lai noteiktu cietus kodus apkopotos lietojumprogrammās.
3. Atvērtā koda rīki: piesaistes rīki, piemēram, Frīda dinamiskai instrumentam un lietotņu funkciju analīzei izpildlaikā. Frīdu var izmantot, lai piesaistītu kriptonauda funkcijām un pārbaudītu, vai šifrēšanas taustiņi ir cieti kodēti.
4. Slepenie skeneri: izmantojiet tādus rīkus kā trufflehog, lai skenētu kodu bāzes cietiem kodoliem. Šie rīki ir izstrādāti, lai identificētu modeļus, kas atbilst kopīgiem slepenajiem tipiem, piemēram, API taustiņiem vai šifrēšanas taustiņiem.
specifiskas metodes DeepSeek
Ņemot vērā īpašās ievainojamības, kas identificētas DeepSeek, piemēram, nedrošu simetrisko šifrēšanas algoritmu (3DES) un cietā kodēšanas taustiņu izmantošana, var izmantot šādas metodes:
- Reversā inženierija: izmantojiet tādus rīkus kā Radare2, lai apgrieztu lietotni un identificētu šifrēšanas parametrus, ieskaitot cietos kodus un inicializācijas vektorus.
- Dinamiskā analīze: Izmantojiet FRIDE, lai piesaistītu lietotnes šifrēšanas funkcijas un pārbaudītu cieto kodolu atslēgu klātbūtni. Tas ietver CCCRYPT zvanu izsekošanu, lai noteiktu, kādi dati tiek šifrēti un atšifrēti.
Apvienojot šīs metodes, izstrādātāji un drošības pētnieki var efektīvi noteikt hardkodētus šifrēšanas atslēgas tādās lietojumprogrammās kā DeepSeek, nodrošinot labāku drošības praksi un aizsargājot lietotāju datus.
Atsauces:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-depseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-eou-you-suffer-a breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and- Security
.
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risk-in-depseek-ai-app-a-27486