Ứng dụng DeepSeek Android đã được xác định với một số lỗ hổng bảo mật quan trọng gây ra rủi ro đáng kể cho người dùng. Dưới đây là các lỗ hổng cụ thể và ý nghĩa của chúng:
1. Cấu hình mạng không có bảo đảm: Ứng dụng này thiếu các biện pháp bảo mật mạng thích hợp, khiến nó rất dễ bị tấn công bởi các cuộc tấn công giữa các trung gian (MITM). Khi người dùng kết nối qua Wi-Fi công cộng hoặc mạng không tin cậy, kẻ tấn công có thể chặn và thao túng dữ liệu, có khả năng đánh cắp thông tin đăng nhập, tin nhắn cá nhân và chi tiết thanh toán. Để giảm thiểu điều này, DeepSeek có thể triển khai HTTPS với HST và sử dụng SSL Ghim để xác thực chứng chỉ máy chủ [1].
2. Không xác nhận SSL hoặc Ghim chứng chỉ: DeepSeek không xác nhận chứng chỉ SSL, khiến nó dễ bị tấn công mạo danh. Tin tặc có thể mạo danh các máy chủ đáng tin cậy và chặn thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập và dữ liệu cá nhân. Việc thực hiện các giao thức xác nhận chứng chỉ SSL và các giao thức xác thực SSL nghiêm ngặt có thể giải quyết vấn đề này [1].
3. Phát hiện gốc yếu: Phát hiện gốc không hiệu quả của ứng dụng cho phép những kẻ tấn công có quyền truy cập gốc để vượt qua các điều khiển bảo mật và trích xuất dữ liệu nhạy cảm. Các thiết bị có nguồn gốc đặc biệt dễ bị tổn thương bởi phần mềm độc hại và các cuộc tấn công mạng tiên tiến. Tăng cường các cơ chế phát hiện gốc với kiểm tra bảo mật tiên tiến và tích hợp các thư viện của bên thứ ba như SafetyNet có thể cải thiện bảo mật [1].
4. Tính nhạy cảm với lỗ hổng StrandHogg: Deepseek dễ bị tổn thương về lỗ hổng StrandHogg, cho phép các ứng dụng độc hại chiếm đoạt các tác vụ ứng dụng hợp pháp, hiển thị màn hình đăng nhập giả để đánh cắp thông tin xác thực của người dùng. Điều này có thể dẫn đến trộm cắp và trộm cắp danh tính. Cập nhật ứng dụng để nhắm mục tiêu các phiên bản Android mới hơn với các bản vá bảo mật được cải thiện và triển khai cài đặt ái lực nhiệm vụ nghiêm ngặt có thể giảm thiểu rủi ro này [1].
5. Tiếp xúc với lỗ hổng Janus: Ứng dụng tiếp xúc với lỗ hổng Janus, cho phép kẻ tấn công sửa đổi tệp APK của ứng dụng mà không phá vỡ chữ ký số của nó, cho phép tiêm phần mềm độc hại. Việc thực hiện kiểm tra tính toàn vẹn của ứng dụng, sử dụng ký kết ứng dụng Google Play và sử dụng ký ứng dụng Android có thể ngăn chặn các sửa đổi trái phép [1].
6. Rủi ro mã hóa và quyền riêng tư yếu: Ứng dụng sử dụng các cơ chế mã hóa yếu, làm cho dữ liệu người dùng dễ bị đánh chặn. Nó sử dụng các thuật toán mật mã đã lỗi thời và thiếu ghim chứng chỉ thích hợp, có thể cho phép những kẻ tấn công khai thác chứng chỉ giả và chặn lưu lượng truy cập. Điều này khiến người dùng tiếp xúc với hành vi trộm cắp danh tính, gian lận tài chính và giám sát trái phép. Việc thực hiện các tiêu chuẩn mã hóa mạnh mẽ như mã hóa từ đầu đến cuối (E2EE) hoặc các giao thức TLS mạnh là cần thiết [3].
7. Rủi ro tiêm SQL và khóa mã hóa cứng: Ứng dụng cũng phải đối mặt với rủi ro tiêm SQL và sử dụng các khóa mã hóa cứng, làm suy yếu thêm tư thế bảo mật của nó. Những thực tiễn này làm tăng nguy cơ vi phạm dữ liệu và truy cập trái phép [6].
8. Thu thập dữ liệu và mối quan tâm về quyền riêng tư: Ứng dụng của Deepseek thu thập nhiều quyền hơn mức cần thiết, thu thập siêu dữ liệu và có khả năng theo dõi hành vi của người dùng vượt ra ngoài những gì được tiết lộ trong chính sách bảo mật của nó. Sự cố chấp này có thể dẫn đến thu hoạch dữ liệu trái phép và xung đột với các quy định về quyền riêng tư như GDPR và CCPA [3].
Các lỗ hổng này nhấn mạnh sự cần thiết của DeepSeek để giải quyết các vấn đề bảo mật và quyền riêng tư của mình để bảo vệ dữ liệu người dùng một cách hiệu quả.
Trích dẫn:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reasoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
.
.
[7] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-and-privacy-weaknesses
.
.