Použití algoritmu 3DES v aplikaci DeepSeek představuje významná bezpečnostní rizika díky jeho zastaralé a nejisté povaze. Zde jsou podrobná rizika spojená s používáním 3DES:
1. Nejistota 3DES: Šifrovací algoritmus Triple DES (3DES) je široce považován za nezabezpečený a zastaralý. Byl to kdysi standard pro zabezpečené šifrování dat, ale kvůli jeho zranitelnosti byl nahrazen bezpečnějšími algoritmy, jako je AES. Použití 3DES činí šifrovaná data náchylná k dešifrování útočníky, což ohrožuje soukromí uživatele a integritu dat [2] [4] [9].
2. Hardcoded Encryption Keys: Deepseekova implementace 3DES zahrnuje hardcoding šifrovací klíče v rámci kódu aplikace. Tato praxe je velmi nejistá, protože umožňuje potenciálním útočníkům extrahovat tyto klíče z aplikace, čímž získá přístup k dešifrování všech dat šifrovaných s nimi. Hardcoded Keys eliminují bezpečnostní výhody šifrování, protože je lze snadno objevit a využívat [4] [9] [10].
3. opětovné použití inicializačních vektorů (IVS): Opětovné použití inicializačních vektorů (IVS) ve spojení s 3DES dále oslabuje šifrování. IVS má být jedinečný pro každou šifrovací operaci, aby se zabránilo útokům, které se spoléhají na vzory v šifrovaných datech. Opětovné použití IVS usnadňuje útočníkům odvodit šifrovací klíč nebo využívat slabosti v procesu šifrování [1] [9].
4. Expozice a manipulace s daty: Protože DeepSeek také deaktivuje zabezpečení transportu aplikací (ATS) na iOS, což zabraňuje odesílání citlivých dat přes nešifrované kanály, aplikace přenáší některá data bez šifrování. To vystavuje uživatele jak pasivním, tak aktivním útokům, kde lze data zachytit a manipulovat [1] [7] [10].
5. Obavy o ochraně osobních údajů a dat: Přenos uživatelských dat na servery spravované BYDEDANCE, Čínská společnost, vyvolává obavy ohledně správy dat v rámci čínské jurisdikce. To zahrnuje potenciál pro bezprávnění dohled a zneužití dat, což jsou významná rizika soukromí pro uživatele [5] [6].
Stručně řečeno, použití 3DES v Deepseek, kombinované s pevnými klíči a znovu použity IV, významně podkopává zabezpečení a soukromí uživatelských dat. Díky těmto zranitelnostem je aplikace cílem pro kybernetické hrozby a narušení dat, což zdůrazňuje potřebu robustnějších šifrovacích postupů a lepší správu dat.
Citace:
[1] https://thehackernews.com/2025/02/deepseek-app-cransmits-sensitive-user.html
[2] https://www.indiadoday.in/technology/news/story/deepseek-recent-findings-reveal--security-plaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-of-reepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-ssosons-from-deepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-VulnerabIlities in-deeepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-nangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://appoov.io/blog/deepseek-apps-security-failures-approov--Could-prevented-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-
[10] https://krebsosonsecurity.com/2025/02/experts-flag-sirity-risks-in-deepseek-app/app/