Zaznavanje trdo kodiranih šifrirnih tipk v aplikacijah, kot je Deepseek, vključuje kombinacijo ročnega pregleda in avtomatiziranih orodij. Tu je podroben pristop za prepoznavanje takšnih ranljivosti:
Ročni pregled
1. Pregled kode: Razvijalci bi morali redno pregledovati svojo kodno bazo za vse trde kodirane vrednosti, zlasti med fazami odpravljanja napak. To vključuje pregled komentarjev kode in dokumentacijo za občutljive informacije, ki bi jih lahko ostali v kodi.
2. Medsebojni pregledi: Izvajanje medsebojnih pregledov lahko pomaga ujeti trdo kodirane skrivnosti že zgodaj v razvojnem ciklu. Ta postopek vključuje, da drugi razvijalci pregledajo kodo za morebitna varnostna tveganja.
Samodejno odkrivanje
1. Orodja za analizo statične kode: Uporabite orodja, kot je Static Black Duck s hitro skeniranje, ki lahko analizira izvorno kodo za vdelane skrivnosti in občutljive informacije. Ta orodja lahko samodejno zaznajo trde kodirane skrivnosti v različnih vrstah in formatih datotek.
2. Orodja za binarno analizo: Orodja, kot je binarna analiza Black Duck (BDBA), lahko skenirajo končne izdelke za pošiljanje ali vsebino zabojnikov, da bi našli skrivnosti v binarnih binarnih in arhivih. To je še posebej koristno za odkrivanje trdo kodiranih tipk v sestavljenih aplikacijah.
3. ODPOVO ODPORJA: Orodja za vzvod, kot je FRIDA, za dinamično instrumentacijo in analizo funkcij aplikacij med izvajanjem. Frida lahko uporabite za priključitev na kripto funkcije in preverite, ali so šifrirne tipke trdo kodirane.
4. Skrivni skenerji: Uporabite orodja, kot je tartuflehog, za skeniranje kodnih baz za trde kodirane skrivnosti. Ta orodja so zasnovana tako, da prepoznajo vzorce, ki ustrezajo skupnim tajnim vrstam, kot so tipke API ali šifrirne tipke.
Specifične tehnike za Deepseek
Glede na posebne ranljivosti, opredeljene v Deepseeku, kot je uporaba negotovih simetričnih algoritmov šifriranja (3DE) in trde kodirane tipke, je mogoče uporabiti naslednje tehnike:
- Reverse Engineering: Uporabite orodja, kot je Radare2, za povratno inženir aplikacije in prepoznavanje šifrirnih parametrov, vključno s trdo kodiranimi tipkami in inicializacijskimi vektorji.
- Dinamična analiza: Uporabite FRIDA, da se priklopi v šifrirne funkcije aplikacije in preverite prisotnost trdo kodiranih tipk. To vključuje sledenje klicev CCCrypt, da se ugotovi, kateri podatki se šifrirajo in dešifrirajo.
Z združevanjem teh metod lahko razvijalci in varnostni raziskovalci učinkovito zaznajo trdo kodirane šifrirne ključe v aplikacijah, kot je Deepseek, tako da zagotovijo boljše varnostne prakse in zaščitijo uporabniške podatke.
Navedbe:
[1] https://www.nowecure.com/blog/2025/02/06/nowecure-uncovers-moultiple-security-and-privacy-flaws in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-refore-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflecurity.com/blog/research-finds-12-000-live-api-keys-in-passwords-in-reepseek-s-Training-DATA
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/sl/insights/deepseek-and-the -manders-no-one-tells/
[7] https://securityscorecard.com/blog/a-meep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-a-27486