在DeepSeek等应用中检测硬编码的加密键涉及手动检查和自动化工具的组合。这是确定此类漏洞的详细方法:
###手动检查
1。代码审查:开发人员应定期查看其代码库的任何硬编码值,尤其是在调试阶段期间。这包括检查代码注释和文档以获取代码库中可能留下的敏感信息。
2。同行评论:实施同行评审可以帮助在开发周期初期捕获硬编码的秘密。此过程涉及让其他开发人员检查代码是否有潜在的安全风险。
###自动检测
1。静态代码分析工具:使用Black Duck的快速扫描静态工具,该工具可以分析嵌入式秘密和敏感信息的源代码。这些工具可以自动检测到各种文件类型和格式的硬编码秘密。
2。二进制分析工具:诸如黑鸭二进制分析(BDBA)之类的工具可以扫描最终运输产品或容器内容,以查找二进制文件和档案中的秘密。这对于检测编译应用程序中的硬编码键特别有用。
3。开源工具:利用Frida之类的工具,用于在运行时进行动态仪器和应用程序功能的分析。 FRIDA可用于挂接加密函数,并验证是否对加密密钥进行了硬编码。
4。秘密扫描仪:使用Trufflehog之类的工具来扫描代码库中的硬编码秘密。这些工具旨在识别与常见秘密类型相匹配的模式,例如API键或加密密钥。
DeepSeek的特定技术
考虑到DeepSeek中确定的特定漏洞,例如使用不安全的对称加密算法(3DES)和硬编码键,可以应用以下技术:
- 反向工程:使用Radare2之类的工具对应用程序进行反向工程,并识别加密参数,包括硬编码键和初始化向量。
- 动态分析:采用Frida将其连接到应用程序的加密功能中,并验证硬编码密钥的存在。这涉及追踪CCCRYPT调用以确定正在加密和解密哪些数据。
通过结合这些方法,开发人员和安全研究人员可以有效地检测到DeepSeek等应用程序中的硬编码加密密钥,确保更好的安全实践并保护用户数据。
引用:
[1] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-security-and-privacy-flaws-in-deepseek-ios-ios-ios-mobile-app/
[2] https://www.blackduck.com/blog/finding-hard-coded-secrets-before-you-suffer-a-breach.html
[3] https://www.bardeen.ai/answers/deepseek-data-privacy-and-security
[4] https://trufflesecurity.com/blog/research-finds-12-000-live-api-keys-keys-and-passwords-in-deepseek-s-training-data
[5] https://blog.ostorlab.co/hardcoded-secrets.html
[6] https://fpt-is.com/en/insights/deepseek-and-the-dangers-no-one-tells/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://blog.codacy.com/hard-coded-secrets
[9] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-aib-app-a-27486