Использование алгоритма 3DES в приложении DeepSeek представляет значительные риски безопасности из -за его устаревшего и небезопасного характера. Вот подробные риски, связанные с использованием 3DES:
1. Небезопасность 3DES: Алгоритм шифрования тройного DES (3DES) широко считается небезопасным и устаревшим. Когда -то это был стандарт для безопасного шифрования данных, но он был заменен более безопасными алгоритмами, такими как AE, из -за его уязвимостей. Использование 3DES делает зашифрованные данные восприимчивыми к дешифрованию злоумышленниками, с компромиссом конфиденциальности пользователей и целостности данных [2] [4] [9].
2. Клавиши шифрования в твердом кодировании: реализация DeepSeek 3DES включает в себя хардкодирующие клавиши шифрования в коде приложения. Эта практика очень небезопасна, потому что она позволяет потенциальным злоумышленникам извлекать эти ключи из приложения, тем самым получая доступ к расшифровке любых данных, зашифрованных с ними. Ключи с жесткой кодировкой исключают преимущества безопасности шифрования, так как их можно легко обнаружить и эксплуатировать [4] [9] [10].
3. Повторное использование векторов инициализации (IVS): повторное использование векторов инициализации (IVS) в сочетании с 3DE дополнительно ослабляет шифрование. IVS предназначена для того, чтобы быть уникальным для каждой операции шифрования, чтобы предотвратить атаки, которые зависят от шаблонов в зашифрованных данных. Повторное использование IVS облегчает злоумышленникам вывести ключ шифрования или использовать слабости в процессе шифрования [1] [9].
4. Воздействие и манипулирование данными. Поскольку DeepSeek также отключает безопасность транспорта приложений (ATS) на iOS, что предотвращает отправку конфиденциальных данных по незашифрованным каналам, приложение передает некоторые данные без какого -либо шифрования вообще. Это подвергает пользователей как пассивных, так и активных атак, где данные можно перехватить и манипулировать [1] [7] [10].
5. Конфиденциальность и суверенитет данных: передача пользовательских данных серверам, управляемым китайской компанией Bytedance, вызывает опасения по поводу управления данными в рамках китайской юрисдикции. Это включает в себя потенциал для безрезультатного наблюдения и неправильного использования данных, которые являются значительными рисками конфиденциальности для пользователей [5] [6].
Таким образом, использование 3DES в DeepSeek в сочетании с жестким кодированным ключей и повторно используемых IV, значительно подрывает безопасность и конфиденциальность пользовательских данных. Эти уязвимости делают приложение целью для киберугроз и нарушений данных, подчеркивая необходимость в более надежной практике шифрования и лучшем управлении данными.
Цитаты:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-faulures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilities in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-expose-Sensity-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-faulures-how-aprov-could-have-preved-the-damege
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/