Việc sử dụng các khóa mã hóa được mã hóa cứng trong các ứng dụng của DeepSeek gây ra một số rủi ro đáng kể đối với bảo mật dữ liệu và quyền riêng tư của người dùng. Dưới đây là một số rủi ro tiềm ẩn liên quan đến thực tiễn này:
1. Tiếp xúc và đánh chặn dữ liệu: Các khóa mã hóa được mã hóa cứng có thể dễ dàng trích xuất từ mã nguồn của ứng dụng, cho phép các bên trái phép truy cập và giải mã dữ liệu nhạy cảm. Điều này đặc biệt liên quan đến Deepseek, vì nó thu thập dữ liệu thiết bị và người dùng rộng rãi, bao gồm các mẫu tổ hợp phím, được truyền đến máy chủ ở Trung Quốc [1] [3] [4]. Việc sử dụng các thuật toán mã hóa lỗi thời như 3DES tiếp tục làm trầm trọng thêm tính dễ bị tổn thương này, vì các thuật toán này được biết là không an toàn [1] [3] [9].
2 Điều này có nghĩa là ngay cả khi lỗ hổng được phát hiện, các khóa vẫn bị xâm phạm cho đến khi ứng dụng được cập nhật, có thể mất thời gian. Không có khả năng xoay các khóa nhanh chóng làm tăng cửa sổ dễ bị tổn thương cho các vi phạm dữ liệu [2] [8].
3. Rủi ro cơ sở dữ liệu SQL và cơ sở dữ liệu: Các ứng dụng của Deepseek cũng phải đối mặt với rủi ro tiêm SQL, có thể cho phép những kẻ tấn công thao túng các truy vấn cơ sở dữ liệu. Khi kết hợp với các khóa mã hóa được mã hóa cứng, điều này có thể cho phép kẻ tấn công truy cập và giải mã các bản ghi người dùng nhạy cảm được lưu trữ trong cơ sở dữ liệu [1] [4] [7].
4. Mối quan tâm về chủ quyền của an ninh và dữ liệu quốc gia: Việc truyền dữ liệu người dùng đến các máy chủ được liên kết với các thực thể thuộc sở hữu nhà nước Trung Quốc làm tăng mối lo ngại về chủ quyền dữ liệu và an ninh quốc gia. Sự tham gia của Bytedance, công ty mẹ của Tiktok, làm phức tạp thêm các vấn đề này do thực tiễn quản trị dữ liệu của Trung Quốc, có thể bao gồm giám sát không bảo hành [1] [3] [7].
5. Điều này có thể dẫn đến quyền truy cập trái phép vào tài khoản người dùng và tiếp tục thỏa hiệp thông tin nhạy cảm [3] [10].
6. Hồ sơ hành vi: Bộ sưu tập động lực học phím và dữ liệu hành vi khác của người dùng có thể được sử dụng để xây dựng hồ sơ chi tiết của người dùng. Điều này làm tăng các mối quan tâm về quyền riêng tư, đặc biệt là khi dữ liệu đó được truyền đến các thực thể có thể sử dụng nó cho mục đích theo dõi hoặc giám sát [1] [4].
Tóm lại, việc sử dụng các khóa mã hóa được mã hóa cứng trong các ứng dụng của Deepseek làm tăng đáng kể nguy cơ vi phạm dữ liệu, truy cập trái phép và vi phạm quyền riêng tư. Những rủi ro này được kết hợp bởi các thực tiễn thu thập dữ liệu rộng rãi của ứng dụng và các kết nối của nó với các thực thể có ý nghĩa an ninh quốc gia tiềm năng.
Trích dẫn:
.
.
.
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5)
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
.
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
.
.