L'uso dell'algoritmo 3DES nell'app DeepSeek rappresenta rischi di sicurezza significativi a causa della sua natura obsoleta e insicura. Ecco i rischi dettagliati associati all'uso di 3di:
1. Insicurezza di 3DE: l'algoritmo di crittografia Triple DES (3DES) è ampiamente considerato insicuro e deprecato. Una volta era uno standard per la crittografia dei dati sicura, ma è stato sostituito da algoritmi più sicuri come gli AE a causa delle sue vulnerabilità. L'uso di 3DE rende i dati crittografati suscettibili alla decrittografia da parte degli aggressori, compromettendo la privacy degli utenti e l'integrità dei dati [2] [4] [9].
2. Chiavi di crittografia con codice rigido: l'implementazione di DeepSeek di 3DE comporta chiavi di crittografia del codifica hardcodili all'interno del codice dell'app. Questa pratica è molto insicura perché consente ai potenziali aggressori di estrarre queste chiavi dall'app, ottenendo così l'accesso per decrittografare qualsiasi dati crittografato con loro. Le chiavi codificate eliminano i vantaggi di sicurezza della crittografia, poiché possono essere facilmente scoperti e sfruttati [4] [9] [10].
3. Riutilizzo dei vettori di inizializzazione (IVS): il riutilizzo dei vettori di inizializzazione (IV) in combinazione con 3DE indebolisce ulteriormente la crittografia. IV sono pensati per essere univoci per ogni operazione di crittografia per prevenire gli attacchi che si basano su modelli in dati crittografati. Il riutilizzo di IVS rende più facile per gli aggressori dedurre la chiave di crittografia o sfruttare i punti deboli nel processo di crittografia [1] [9].
3 Ciò espone gli utenti ad attacchi sia passivi che attivi, in cui i dati possono essere intercettati e manipolati [1] [7] [10].
5. Privacy e dati Sovrani Preoccupazioni: la trasmissione dei dati degli utenti ai server gestiti da Bytedance, una società cinese, solleva preoccupazioni per la governance dei dati ai sensi della giurisdizione cinese. Ciò include il potenziale di sorveglianza senza garanzia e uso improprio dei dati, che sono rischi significativi per la privacy per gli utenti [5] [6].
In sintesi, l'uso di 3di in DeepSeek, combinato con chiavi con codice rigido e IV riutilizzati, mina significativamente la sicurezza e la privacy dei dati degli utenti. Queste vulnerabilità rendono l'app un obiettivo per minacce informatiche e violazioni dei dati, evidenziando la necessità di pratiche di crittografia più solide e una migliore governance dei dati.
Citazioni:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-hisks-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-lessons-from-deepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybececurity-newsflash-researchers-find-security-vulnerabilities-indeepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-angers
[7] https://www.cybersecurityintrelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevent-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-resks-in-deepseek-app-app/