Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon จะตรวจพบปุ่มเข้ารหัสแบบ hardcoded ใน deepseek ได้อย่างไร


จะตรวจพบปุ่มเข้ารหัสแบบ hardcoded ใน deepseek ได้อย่างไร


การตรวจจับปุ่มเข้ารหัส Hardcoded ในแอปพลิเคชันเช่น Deepseek เกี่ยวข้องกับการรวมกันของการตรวจสอบด้วยตนเองและเครื่องมืออัตโนมัติ นี่คือวิธีการโดยละเอียดในการระบุช่องโหว่ดังกล่าว:

การตรวจสอบด้วยตนเอง

1. การตรวจสอบรหัส: นักพัฒนาควรตรวจสอบรหัสฐานของพวกเขาเป็นประจำสำหรับค่าฮาร์ดโค้ดใด ๆ โดยเฉพาะในระหว่างขั้นตอนการดีบัก ซึ่งรวมถึงการตรวจสอบความคิดเห็นของรหัสและเอกสารประกอบสำหรับข้อมูลที่ละเอียดอ่อนซึ่งอาจถูกทิ้งไว้ใน Codebase

2. ความคิดเห็นจากเพื่อน: การใช้บทวิจารณ์เพียร์สามารถช่วยจับความลับของ hardcoded ในช่วงต้นของวงจรการพัฒนา กระบวนการนี้เกี่ยวข้องกับการให้นักพัฒนาอื่นตรวจสอบรหัสสำหรับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น

การตรวจจับอัตโนมัติ

1. เครื่องมือวิเคราะห์รหัสแบบคงที่: ใช้เครื่องมือเช่นการสแกนอย่างรวดเร็วของเป็ดดำซึ่งสามารถวิเคราะห์ซอร์สโค้ดสำหรับความลับแบบฝังและข้อมูลที่ละเอียดอ่อน เครื่องมือเหล่านี้สามารถตรวจจับความลับที่เก็บรหัสได้โดยอัตโนมัติในประเภทไฟล์และรูปแบบต่างๆ

2. เครื่องมือวิเคราะห์ไบนารี: เครื่องมือเช่นการวิเคราะห์แบบเป็ดดำ (BDBA) สามารถสแกนผลิตภัณฑ์การจัดส่งสินค้าขั้นสุดท้ายหรือเนื้อหาคอนเทนเนอร์เพื่อค้นหาความลับในไบนารีและคลังเก็บ สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับการตรวจจับปุ่มฮาร์ดโค้ดในแอปพลิเคชันที่รวบรวม

3. เครื่องมือโอเพ่นซอร์ส: เครื่องมือใช้ประโยชน์เช่น Frida สำหรับเครื่องมือวัดแบบไดนามิกและการวิเคราะห์ฟังก์ชั่นแอพที่รันไทม์ Frida สามารถใช้เพื่อเชื่อมต่อกับฟังก์ชั่น crypto และตรวจสอบว่าปุ่มเข้ารหัสเป็น hardcoded หรือไม่

4. สแกนเนอร์ลับ: ใช้เครื่องมือเช่นทรัฟเฟิลฮอคเพื่อสแกนฐานรหัสสำหรับความลับแบบฮาร์ดโค้ด เครื่องมือเหล่านี้ได้รับการออกแบบมาเพื่อระบุรูปแบบที่ตรงกับประเภทความลับทั่วไปเช่นปุ่ม API หรือปุ่มเข้ารหัส

เทคนิคเฉพาะสำหรับ deepseek

เมื่อพิจารณาถึงช่องโหว่เฉพาะที่ระบุไว้ใน Deepseek เช่นการใช้อัลกอริทึมการเข้ารหัสสมมาตรที่ไม่ปลอดภัย (3DEs) และคีย์ hardcoded สามารถใช้เทคนิคต่อไปนี้:

- วิศวกรรมย้อนกลับ: ใช้เครื่องมือเช่น radare2 เพื่อย้อนกลับเครื่องยนต์แอพและระบุพารามิเตอร์การเข้ารหัสรวมถึงคีย์ hardcoded และเวกเตอร์การเริ่มต้น

- การวิเคราะห์แบบไดนามิก: ใช้ Frida เพื่อเชื่อมต่อฟังก์ชั่นการเข้ารหัสของแอพและตรวจสอบการมีอยู่ของคีย์ฮาร์ดโค้ด สิ่งนี้เกี่ยวข้องกับการติดตามการเรียก CCCrypt เพื่อกำหนดว่าข้อมูลใดกำลังถูกเข้ารหัสและถอดรหัส

ด้วยการรวมวิธีการเหล่านี้นักพัฒนาและนักวิจัยด้านความปลอดภัยสามารถตรวจจับปุ่มเข้ารหัสแบบ hardcoded ได้อย่างมีประสิทธิภาพในแอปพลิเคชันเช่น Deepseek เพื่อให้มั่นใจว่าแนวทางปฏิบัติด้านความปลอดภัยที่ดีขึ้นและปกป้องข้อมูลผู้ใช้

การอ้างอิง:
[1] https://www.ownowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486