Bruken av 3DES -algoritmen i DeepSeek -appen utgjør betydelige sikkerhetsrisikoer på grunn av sin utdaterte og usikre natur. Her er de detaljerte risikoer forbundet med å bruke 3DES:
1. Usikkerhet av 3DES: Triple DES (3DES) krypteringsalgoritme er mye ansett som usikker og utdatert. Det var en gang en standard for sikker datakryptering, men den er erstattet av sikrere algoritmer som AE -er på grunn av sårbarhetene. Å bruke 3DES gjør de krypterte dataene mottakelige for dekryptering av angripere, og kompromitterer brukerens personvern og dataintegritet [2] [4] [9].
2. Hardkodede krypteringsnøkler: DeepSeeks implementering av 3DES innebærer hardkodende krypteringsnøkler innenfor appens kode. Denne praksisen er svært usikker fordi den lar potensielle angripere trekke ut disse nøklene fra appen, og dermed få tilgang til å dekryptere eventuelle data som er kryptert med dem. Hardkodede nøkler eliminerer sikkerhetsfordelene ved kryptering, da de lett kan oppdages og utnyttes [4] [9] [10].
3. Gjenbruk av initialiseringsvektorer (IV): gjenbruk av initialiseringsvektorer (IV) i forbindelse med 3DES svekker krypteringen ytterligere. IV -er er ment å være unike for hver krypteringsoperasjon for å forhindre angrep som er avhengige av mønstre i krypterte data. Gjenbruk av IV -er gjør det lettere for angripere å utlede krypteringsnøkkelen eller utnytte svakheter i krypteringsprosessen [1] [9].
4. Dataeksponering og manipulering: Siden DeepSeek også deaktiverer App Transport Security (ATS) på iOS, som forhindrer at sensitive data blir sendt over ukrypterte kanaler, overfører appen noen data uten kryptering i det hele tatt. Dette utsetter brukere for både passive og aktive angrep, der data kan avskjæres og manipuleres [1] [7] [10].
5. Personvern og datasuverenitetsproblemer: Overføring av brukerdata til servere som administreres av Bytedance, et kinesisk selskap, vekker bekymring for datastyring under kinesisk jurisdiksjon. Dette inkluderer potensialet for garantert overvåking og misbruk av data, som er betydelig personvernrisiko for brukere [5] [6].
Oppsummert undergraver bruken av 3DES i DeepSeek, kombinert med hardkodede nøkler og gjenbrukte IV -er, sikkert sikkerheten og personvernet til brukerdata. Disse sårbarhetene gjør appen til et mål for cybertrusler og brudd på data, og fremhever behovet for mer robust krypteringspraksis og bedre datastyring.
Sitasjoner:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-ensitive-bruker.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-thecurity-riss-of-depseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-preepseeks-sikkerhetsfabletter-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities-in-peepseek-for-ios/
[6] https://sbcyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-- exposes-ensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-sikkerhets-failures-how-approov-could-have-prevented-tedamage
[10] https://krebssecurity.com/2025/02/experts-flag-security-privacy-riss-in-depeSeek-ai-app/