A kemény kódolt titkosítási kulcsok észlelése olyan alkalmazásokban, mint a DeepSeek, a kézi ellenőrzés és az automatizált eszközök kombinációja. Itt egy részletes megközelítés az ilyen sebezhetőségek azonosításához:
Kézi ellenőrzés
1. Kód -áttekintés: A fejlesztőknek rendszeresen felül kell vizsgálniuk a kódbázisukat bármilyen kemény kódú értékre, különösen a hibakeresési szakaszok során. Ez magában foglalja a kód megjegyzéseinek és dokumentációjának ellenőrzését az érzékeny információkhoz, amelyek esetleg a kódbázisban maradtak.
2. szakértői vélemények: A szakértői értékelések végrehajtása elősegítheti a kemény kódolt titkok elkapását a fejlesztési ciklus elején. Ez a folyamat magában foglalja, hogy más fejlesztők megvizsgálják a kódexet a potenciális biztonsági kockázatok szempontjából.
Automatizált észlelés
1. statikus kód -elemzési eszközök: Használjon olyan eszközöket, mint a Black Duck gyors szkennelése, amely elemezheti a beágyazott titkok és az érzékeny információk forráskódját. Ezek az eszközök automatikusan felismerhetik a kemény kódolt titkokat a különféle fájltípusok és formátumok között.
2. bináris elemzési eszközök: Az olyan eszközök, mint a Black Duck Binary Analysis (BDBA), beolvashatják a végső szállítási termékeket vagy a konténer tartalmát, hogy titkokat találjanak a bináris fájlokban és az archívumokban. Ez különösen hasznos a kemény kódolt kulcsok észlelésére az összeállított alkalmazásokban.
3. Nyílt forráskódú eszközök: Használjon eszközöket, mint például a FRIDA az alkalmazásfunkciók dinamikus műszerezéséhez és elemzéséhez futás közben. A FRIDA felhasználható a kriptográfiai funkciókba való bekapcsoláshoz és annak ellenőrzéséhez, hogy a titkosítási kulcsok keményen vannak -e kódolva.
4. Titkos szkennerek: Használjon olyan eszközöket, mint a TruffleHog, a kódbázisok szkenneléséhez a kemény kódú titkokhoz. Ezeket az eszközöket úgy tervezték, hogy azonosítsák a szokásos titkos típusok, például API -kulcsok vagy titkosítási kulcsok mintáit.
Különleges technikák a mélységre
Tekintettel a DeepSeek -ben azonosított specifikus sebezhetőségekre, például a bizonytalan szimmetrikus titkosítási algoritmusok (3DES) és a kemény kódolású kulcsok alkalmazására, a következő technikák alkalmazhatók:
- Fordított tervezés: Használjon olyan eszközöket, mint a Radare2 az alkalmazás megfordítása és a titkosítási paraméterek azonosítása érdekében, beleértve a kemény kódolt kulcsokat és az inicializálási vektorokat.
- Dinamikus elemzés: Fontolja meg a FRIDA -t az App titkosítási funkcióinak bekapcsolásához, és ellenőrizze a kemény kódolt kulcsok jelenlétét. Ez magában foglalja a CCCrypt hívások nyomon követését annak meghatározására, hogy mely adatok titkosítják és dekódolják.
Ezeknek a módszereknek a kombinálásával a fejlesztők és a biztonsági kutatók hatékonyan felismerhetik a kemény kódolt titkosítási kulcsokat olyan alkalmazásokban, mint a DeepSeek, biztosítva a jobb biztonsági gyakorlatokat és a felhasználói adatok védelmét.
Idézetek:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-reepseek-os-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-befory-yuffer-a-rarech.html
[3] https://www.barardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-apiys-and-passwords-in-deepseek-shining-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-noone-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-warn-new-news-in-reepseek-ai-pp-a-27486