Η χρήση του αλγορίθμου 3DES στην εφαρμογή Deepseek δημιουργεί σημαντικούς κινδύνους ασφαλείας λόγω της ξεπερασμένης και ανασφαλούς φύσης του. Εδώ είναι οι λεπτομερείς κίνδυνοι που σχετίζονται με τη χρήση 3DES:
1. Ασφάλεια των 3DES: Ο αλγόριθμος κρυπτογράφησης Triple DES (3DES) θεωρείται ευρέως ανασφαλής και καταργημένος. Ήταν κάποτε ένα πρότυπο για την ασφαλή κρυπτογράφηση δεδομένων, αλλά έχει αντικατασταθεί από πιο ασφαλείς αλγόριθμους όπως το AES λόγω των τρωτών σημείων του. Η χρήση του 3DES καθιστά τα κρυπτογραφημένα δεδομένα ευαίσθητα σε αποκρυπτογράφηση από τους επιτιθέμενους, θέτοντας σε κίνδυνο την ιδιωτική ζωή των χρηστών και την ακεραιότητα των δεδομένων [2] [4] [9].
2. Κλειδιά κρυπτογράφησης με σκληρό κωδικοποιημένο: Η εφαρμογή των 3DEs από το DeepSeeek περιλαμβάνει πλήκτρα κρυπτογράφησης σκληρού κωδικοποίησης μέσα στον κώδικα της εφαρμογής. Αυτή η πρακτική είναι εξαιρετικά ανασφαλής επειδή επιτρέπει στους πιθανούς εισβολείς να εξαγάγουν αυτά τα κλειδιά από την εφαρμογή, αποκτώντας έτσι πρόσβαση για να αποκρυπτογραφήσουν οποιαδήποτε δεδομένα κρυπτογραφημένα μαζί τους. Τα πλήκτρα Hardcoded εξαλείφουν τα οφέλη ασφαλείας της κρυπτογράφησης, καθώς μπορούν εύκολα να ανακαλυφθούν και να εκμεταλλευτούν [4] [9] [10].
3. Επαναχρησιμοποίηση των φορέων αρχικοποίησης (IVS): Η επαναχρησιμοποίηση των φορέων αρχικοποίησης (IVS) σε συνδυασμό με 3DEs αποδυναμώνουν περαιτέρω την κρυπτογράφηση. Τα IVs προορίζονται να είναι μοναδικά για κάθε λειτουργία κρυπτογράφησης για να αποτρέψουν τις επιθέσεις που βασίζονται σε πρότυπα σε κρυπτογραφημένα δεδομένα. Η επαναχρησιμοποίηση IVS διευκολύνει τους επιτιθέμενους να συναγάγουν το κλειδί κρυπτογράφησης ή να εκμεταλλευτούν αδυναμίες στη διαδικασία κρυπτογράφησης [1] [9].
4. Έκθεση και χειραγώγηση δεδομένων: Δεδομένου ότι το DeepSeeek απενεργοποιεί επίσης την ασφάλεια των μεταφορών εφαρμογών (ATS) σε iOS, γεγονός που εμποδίζει την αποστολή ευαίσθητων δεδομένων μέσω μη κρυπτογραφημένων καναλιών, η εφαρμογή μεταδίδει ορισμένα δεδομένα χωρίς καμία κρυπτογράφηση καθόλου. Αυτό εκθέτει τους χρήστες τόσο σε παθητικές όσο και σε ενεργές επιθέσεις, όπου τα δεδομένα μπορούν να παρεμποδιστούν και να χειραγωγηθούν [1] [7] [10].
5. Οι ανησυχίες για την κυριαρχία της ιδιωτικής ζωής και των δεδομένων: Η μετάδοση των δεδομένων των χρηστών σε διακομιστές που διαχειρίζεται η ByTeDance, μια κινεζική εταιρεία, εγείρει ανησυχίες σχετικά με τη διακυβέρνηση των δεδομένων υπό την κινεζική δικαιοδοσία. Αυτό περιλαμβάνει το δυναμικό για την παρακολούθηση της επιτήρησης και την κατάχρηση δεδομένων, οι οποίες αποτελούν σημαντικούς κινδύνους για την προστασία της ιδιωτικής ζωής για τους χρήστες [5] [6].
Συνοπτικά, η χρήση των 3DEs στο Deepseek, σε συνδυασμό με τα πλήκτρα Hardcoded και το επαναχρησιμοποιημένο IVS, υπονομεύει σημαντικά την ασφάλεια και την ιδιωτικότητα των δεδομένων των χρηστών. Αυτά τα τρωτά σημεία καθιστούν την εφαρμογή στόχο για απειλές στον κυβερνοχώρο και παραβιάσεις δεδομένων, υπογραμμίζοντας την ανάγκη για πιο ισχυρές πρακτικές κρυπτογράφησης και καλύτερη διακυβέρνηση των δεδομένων.
Αναφορές:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-nisks-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-peepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-security-vulnerabilities-in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
[10] https://krebssonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/