Användningen av 3DES -algoritmen i Deepseek -appen utgör betydande säkerhetsrisker på grund av dess föråldrade och osäkra natur. Här är de detaljerade riskerna med att använda 3DE:
1. Osäkerhet av 3DE: trippel des (3DE) -krypteringsalgoritmen anses allmänt vara osäker och avskriven. Det var en gång en standard för säker datakryptering, men den har ersatts av säkrare algoritmer som AES på grund av dess sårbarheter. Att använda 3DE: er gör de krypterade data mottagliga för dekryptering av angripare, vilket komprometterar användarens integritet och dataintegritet [2] [4] [9].
2. Hardkodade krypteringsnycklar: Deepseeks implementering av 3DES involverar hårdkodningskrypteringsnycklar i appens kod. Denna praxis är mycket osäker eftersom den gör det möjligt för potentiella angripare att extrahera dessa nycklar från appen och därigenom få tillgång till att dekryptera eventuella data som är krypterade med dem. Hardkodade nycklar eliminerar säkerhetsfördelarna med kryptering, eftersom de lätt kan upptäckas och utnyttjas [4] [9] [10].
3. Återanvändning av initialiseringsvektorer (IV): Återanvändning av initialiseringsvektorer (IV) i samband med 3DE försvagar krypteringen ytterligare. IV: er är avsedda att vara unika för varje krypteringsoperation för att förhindra attacker som förlitar sig på mönster i krypterade data. Återanvändning av IVS gör det lättare för angripare att härleda krypteringsnyckeln eller utnyttja svagheter i krypteringsprocessen [1] [9].
4. Exponering för data och manipulation: Eftersom Deepseek också inaktiverar APP -transportsäkerhet (ATS) på iOS, vilket förhindrar att känslig data skickas över okrypterade kanaler, överför appen en del data utan någon kryptering alls. Detta utsätter användare för både passiva och aktiva attacker, där data kan avlyssnas och manipuleras [1] [7] [10].
5. ONVÄNDNING OCH DATA SUVEREIGNTY FÖR: Överföring av användardata till servrar som hanteras av ByteDance, ett kinesiskt företag, väcker oro över datastyrning enligt kinesisk jurisdiktion. Detta inkluderar potentialen för orättfri övervakning och missbruk av data, som är betydande integritetsrisker för användare [5] [6].
Sammanfattningsvis undergräver användningen av 3DE i Deepseek, i kombination med hårdkodade nycklar och återanvända IVS, signifikant säkerheten och integriteten för användardata. Dessa sårbarheter gör appen till ett mål för cyberhot och dataöverträdelser, vilket belyser behovet av mer robusta krypteringspraxis och bättre datastyrning.
Citeringar:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
]
]
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-failures-faux-tx7re
]
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
]
]