Deepseek uygulamasında 3DES algoritmasının kullanılması, eski ve güvensiz doğası nedeniyle önemli güvenlik riskleri oluşturmaktadır. İşte 3DES kullanma ile ilişkili ayrıntılı riskler:
1. 3DES Güvensizliği: Triple Des (3DES) şifreleme algoritması yaygın olarak güvensiz olarak kabul edilir ve kullanımdan kaldırılır. Bir zamanlar güvenli veri şifrelemesi için bir standarttı, ancak güvenlik açıkları nedeniyle AE'ler gibi daha güvenli algoritmaların yerini almıştır. 3DES kullanmak, şifrelenmiş verileri saldırganlar tarafından şifre çözmeye duyarlı hale getirir, kullanıcı gizliliğinden ve veri bütünlüğünü tehlikeye atar [2] [4] [9].
2. Sabit Kodlu Şifreleme Anahtarları: Deepseek'in 3DES uygulaması, uygulamanın kodunda sabit kodlama şifreleme anahtarlarını içerir. Bu uygulama oldukça güvensizdir, çünkü potansiyel saldırganların bu anahtarları uygulamadan çıkarmasına izin verir, böylece onlarla şifrelenmiş verilerin şifresini çözmek için erişim kazanır. Sabit kodlanmış anahtarlar, kolayca keşfedilebilir ve sömürülebildikleri için şifrelemenin güvenlik avantajlarını ortadan kaldırır [4] [9] [10].
3. Başlatma vektörlerinin (IV'ler) yeniden kullanılması: Başlatma vektörlerinin (IV'ler) 3DES ile birlikte yeniden kullanılması şifrelemeyi daha da zayıflatır. IV'ler, şifrelenmiş verilerdeki kalıplara dayanan saldırıları önlemek için her şifreleme işlemi için benzersiz olmalıdır. IV'lerin yeniden kullanılması, saldırganların şifreleme anahtarını çıkarmasını veya şifreleme işlemindeki zayıflıklardan yararlanmasını kolaylaştırır [1] [9].
4. Veri maruziyeti ve manipülasyonu: Deepseek, hassas verilerin şifrelenmemiş kanallar üzerinden gönderilmesini önleyen iOS'ta uygulama aktarım güvenliğini (ATS) de devre dışı bıraktığından, uygulama herhangi bir şifreleme olmadan bazı verileri iletir. Bu, kullanıcıları hem pasif hem de aktif saldırılara maruz bırakır, burada verilerin ele geçirilmesi ve manipüle edilebileceği [1] [7] [10].
5. Gizlilik ve Veri Egemenliği Endişeleri: Kullanıcı verilerinin, Çinli bir şirket olan bayta tarafından yönetilen sunuculara aktarılması, Çin yargı yetkisi altındaki veri yönetişimi konusunda endişeleri gündeme getirmektedir. Bu, kullanıcılar için önemli gizlilik riskleri olan garantisiz gözetim ve veri kötüye kullanımı potansiyelini içerir [5] [6].
Özetle, Deepseek'te 3DES kullanımı, sert kodlanmış anahtarlarla ve yeniden kullanılan IV'lerle birleştiğinde, kullanıcı verilerinin güvenliğini ve gizliliğini önemli ölçüde zayıflatır. Bu güvenlik açıkları, uygulamayı siber tehditler ve veri ihlalleri için bir hedef haline getirerek, daha sağlam şifreleme uygulamalarına ve daha iyi veri yönetişine duyulan ihtiyacı vurgular.
Alıntılar:
[1] https://thehackernews.com/2025/02/deepseek-app-cransmitss-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-orents-findings-reveal-multiple-cority-flaws-in-os-app-267742-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-to-security-risks-of-depseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-depseeks-security-failures-fux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchersfind-security-vulnerability-in-depseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-proproov-davave-prevented-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-eepseek-ai-app/