Zastosowanie algorytmu 3DES w aplikacji Deepseek stanowi znaczne ryzyko bezpieczeństwa ze względu na jego przestarzały i niepewny charakter. Oto szczegółowe ryzyko związane z użyciem 3DE:
1. Niepewność 3DE: Algorytm szyfrowania Triple DES (3DES) jest powszechnie uważany za niepewny i przestarzały. Był to kiedyś standardem bezpiecznego szyfrowania danych, ale został zastąpiony przez bezpieczniejsze algorytmy, takie jak AES ze względu na jego luki. Korzystanie z 3DES sprawia, że zaszyfrowane dane podatne na deszyfrowanie przez atakujących, zagrażając prywatności i integralności danych użytkownika [2] [4] [9].
2. Klawisze szyfrowania za twardo: Wdrożenie 3DES DeepSeek obejmuje klawisze szyfrowania w kodzie aplikacji. Ta praktyka jest bardzo niepewna, ponieważ pozwala potencjalnym atakującym wyodrębnić te klucze z aplikacji, uzyskując w ten sposób dostęp do odszyfrowania wszelkich danych zaszyfrowanych. Klawisze hardkodowane eliminują korzyści bezpieczeństwa szyfrowania, ponieważ można je łatwo odkryć i wykorzystywać [4] [9] [10].
3. Ponowne wykorzystanie wektorów inicjalizacyjnych (IVS): Ponowne wykorzystanie wektorów inicjalizacyjnych (IVS) w połączeniu z 3DE dodatkowo osłabia szyfrowanie. IV mają być unikalne dla każdej operacji szyfrowania, aby zapobiec atakom, które opierają się na wzorcach w zaszyfrowanych danych. Ponowne wykorzystanie IVS ułatwia atakującym wydedukowanie klucza szyfrowania lub wykorzystanie słabości w procesie szyfrowania [1] [9].
4. Ekspozycja i manipulacja danych: Ponieważ DeepSeek wyłącza również bezpieczeństwo transportu APP (ATS) na iOS, co zapobiega wysyłaniu poufnych danych przez nieznane kanały, aplikacja przesyła niektóre dane bez żadnego szyfrowania. Wprowadza to użytkowników zarówno na ataki pasywne, jak i aktywne, w których dane można przechwycić i manipulować [1] [7] [10].
5. Obawy dotyczące prywatności i danych: transmisja danych użytkownika do serwerów zarządzanych przez chińską firmę BYEDANCE, budzi obawy dotyczące zarządzania danymi w ramach chińskiej jurysdykcji. Obejmuje to potencjał do nadzoru bez gwarancji i niewłaściwego użycia danych, które są znaczącym ryzykiem prywatności dla użytkowników [5] [6].
Podsumowując, użycie 3DES w Deepseek, w połączeniu z klawiszami za twardymi i ponownie wykorzystywanymi IV, znacznie podważa bezpieczeństwo i prywatność danych użytkownika. Te luki sprawiają, że aplikacja jest celem zagrożeń cybernetycznych i naruszeń danych, podkreślając potrzebę bardziej solidnych praktyk szyfrowania i lepszego zarządzania danymi.
Cytaty:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reeal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-failures faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabities-in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligan.com/blog/deepseek-exposes-sensive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-lould-have-prevent-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/