Deepseek gibi uygulamalarda sabit kodlu şifreleme anahtarlarının algılanması, manuel inceleme ve otomatik araçların bir kombinasyonunu içerir. İşte bu tür güvenlik açıklarını tanımlamak için ayrıntılı bir yaklaşım:
Manuel İnceleme
1. Kod İncelemesi: Geliştiriciler, özellikle hata ayıklama aşamaları sırasında, sabit kodlu değerler için kod tabanlarını düzenli olarak gözden geçirmelidir. Bu, kod tabanında bırakılmış olabilecek hassas bilgiler için kod yorumlarını ve belgeleri incelemeyi içerir.
2. Akran İncelemeleri: Akran incelemelerinin uygulanması, geliştirme döngüsünün başlarında sert kodlanmış sırların yakalanmasına yardımcı olabilir. Bu süreç, diğer geliştiricilerin kodu potansiyel güvenlik riskleri için incelemesini içerir.
Otomatik Algılama
1. Statik Kod Analiz Araçları: Gömülü sırlar ve hassas bilgiler için kaynak kodunu analiz edebilen Black Duck'ın hızlı tarama statik gibi araçları kullanın. Bu araçlar, çeşitli dosya türleri ve formatlarında sabit kodlanmış sırları otomatik olarak algılayabilir.
2. İkili analiz araçları: Black Duck İkili Analizi (BDBA) gibi araçlar, ikili ve arşivlerde sırlar bulmak için son nakliye ürünlerini veya konteyner içeriğini tarayabilir. Bu, özellikle derlenmiş uygulamalarda sabit kodlanmış anahtarları tespit etmek için kullanışlıdır.
3. Açık kaynaklı araçlar: Dinamik enstrümantasyon için FRIDA gibi araçlardan yararlanın ve çalışma zamanında uygulama işlevlerinin analizi. Frida, kripto işlevlerine bağlanmak ve şifreleme anahtarlarının sabit olup olmadığını doğrulamak için kullanılabilir.
4. Gizli Tarayıcılar: Döviz kodlu sırlar için kod tabanlarını taramak için Trufflehog gibi araçları kullanın. Bu araçlar, API tuşları veya şifreleme anahtarları gibi ortak gizli türlerle eşleşen desenleri tanımlamak için tasarlanmıştır.
Deepseek için özel teknikler
Deepseek'te tanımlanan güvensiz simetrik şifreleme algoritmaları (3DES) ve sert kodlanmış anahtarların kullanımı gibi belirli güvenlik açıkları göz önüne alındığında, aşağıdaki teknikler uygulanabilir:
- Tersine Mühendislik: Uygulamayı tersine dönüştürmek ve sabit kodlu anahtarlar ve başlatma vektörleri dahil şifreleme parametrelerini tanımlamak için Radare2 gibi araçları kullanın.
- Dinamik analiz: Uygulamanın şifreleme işlevlerine bağlanmak ve sert kodlanmış tuşların varlığını doğrulamak için FRIDA kullanın. Bu, hangi verilerin şifrelendiğini ve çözüldüğünü belirlemek için CCCrypt çağrılarını izlemeyi içerir.
Bu yöntemleri birleştirerek, geliştiriciler ve güvenlik araştırmacıları, Deepseek gibi uygulamalarda sert kodlanmış şifreleme anahtarlarını etkili bir şekilde tespit edebilir, daha iyi güvenlik uygulamaları sağlar ve kullanıcı verilerini koruyabilir.
Alıntılar:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-ncovers-multiple-cerity-and-privacy-flaws-in-depseek-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-dard-doded-secrets-touffer--freach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-and-passwords-in-deepseek-s-traencd-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-de-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-depe-peek-at-deepseek/
[8] https://blog.codacy.com/hard-dodeed-secrets
[9] https://www.bankinfosecurity.com/security-searchers-warn-new-risket-in-epseek-ai-app-a-27486
