Detekcia tvrdých kódovaných šifrovacích klávesov v aplikáciách, ako je DeepSeek, zahŕňa kombináciu manuálnej kontroly a automatizovaných nástrojov. Tu je podrobný prístup k identifikácii takýchto zraniteľností:
manuálna kontrola
1. Preskúmanie kódu: Vývojári by mali pravidelne skúmať svoju kódovú základňu pre akékoľvek tvrdé hodnoty, najmä počas fáz ladenia. Zahŕňa to kontrolu komentárov kódu a dokumentáciu pre citlivé informácie, ktoré mohli zostať v kódovej základni.
2. Peer Recenzie: Implementácia partnerských recenzií môže pomôcť zachytiť tvrdé kódované tajomstvá na začiatku vývojového cyklu. Tento proces spočíva v tom, že ostatní vývojári skontrolujú kód potenciálnych bezpečnostných rizík.
Automatizovaná detekcia
1. Nástroje analýzy statického kódu: Využívajte nástroje, ako je rýchle skenovanie Black Duck Static, ktoré môžu analyzovať zdrojový kód pre vstavané tajomstvá a citlivé informácie. Tieto nástroje môžu automaticky detekovať tvrdé tajomstvá v rôznych typoch a formátoch súborov.
2. Nástroje binárnej analýzy: Nástroje, ako je binárna analýza Black Duck (BDBA), môžu skenovať konečné prepravné produkty alebo obsah kontajnera, aby našli tajomstvá v binárnych súboroch a archívoch. Je to užitočné najmä na detekciu tvrdých kľúčov v zostavených aplikáciách.
3. Nástroje s otvoreným zdrojovým kódom: Nástroje pákového efektu, ako je Frida pre dynamické prístroje a analýza funkcií aplikácií za behu. FRIDA sa dá použiť na pripevnenie do kryptom funkcií a na overenie, či sú šifrovacie klávesy pevne kódované.
4. Tajné skenery: Používajte nástroje ako TruffleHog na skenovanie kódových základných bodov pre tvrdé tajomstvá. Tieto nástroje sú navrhnuté tak, aby identifikovali vzory, ktoré zodpovedajú bežným typom tajných typov, ako sú kľúčy API alebo šifrovacie kľúče.
Špecifické techniky pre Deepseek
Vzhľadom na špecifické zraniteľné miesta identifikované v DeepSeek, ako napríklad použitie nebezpečných symetrických šifrovacích algoritmov (3DE) a pevných kódov, je možné použiť nasledujúce techniky:
- Reverzné inžinierstvo: Na spätný inžinier používajte nástroje ako RADare2 na reverzné inžinierstvo a identifikujte parametre šifrovania vrátane pevných kódov a inicializačných vektorov.
- Dynamická analýza: Použite FRIDA na pripojenie k šifrovacím funkciám aplikácie a overte prítomnosť pevných kódov. Zahŕňa to sledovanie hovorov CCCRYPT, aby sa zistilo, aké údaje sú šifrované a dešifrované.
Kombináciou týchto metód môžu vývojári a bezpečnostní vedci účinne zistiť pevne kódované šifrovacie kľúče v aplikáciách, ako je DeepSeek, zabezpečiť lepšie bezpečnostné postupy a ochranu používateľských údajov.
Citácie:
[1] https://www.nowecure.com/blog/2025/02/06/nowsecure-untoves-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s--training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/adeep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new--sks-in-deepseek-ai-App-App-a-27486