Penggunaan algoritma 3DES dalam aplikasi Deepseek menimbulkan risiko keamanan yang signifikan karena sifatnya yang sudah ketinggalan zaman dan tidak aman. Berikut adalah risiko terperinci yang terkait dengan penggunaan 3DE:
1. Ketidakamanan 3des: Algoritma enkripsi Triple DES (3DES) secara luas dianggap tidak aman dan sudah usang. Itu pernah menjadi standar untuk enkripsi data yang aman, tetapi telah digantikan oleh algoritma yang lebih aman seperti AES karena kerentanannya. Menggunakan 3DES membuat data terenkripsi rentan terhadap dekripsi oleh penyerang, mengkompromikan privasi pengguna dan integritas data [2] [4] [9].
2. Kunci Enkripsi Hardcoded: Implementasi 3DE Deepseek melibatkan kunci enkripsi hardcoding dalam kode aplikasi. Praktik ini sangat tidak aman karena memungkinkan penyerang potensial untuk mengekstrak kunci -kunci ini dari aplikasi, sehingga mendapatkan akses untuk mendekripsi data apa pun yang dienkripsi dengan mereka. Kunci hardcoded menghilangkan manfaat keamanan enkripsi, karena dapat dengan mudah ditemukan dan dieksploitasi [4] [9] [10].
3. Penggunaan kembali vektor inisialisasi (IVS): penggunaan kembali vektor inisialisasi (IV) bersamaan dengan 3DE lebih jauh melemahkan enkripsi. IV dimaksudkan untuk menjadi unik untuk setiap operasi enkripsi untuk mencegah serangan yang bergantung pada pola dalam data terenkripsi. Menggunakan kembali IV memudahkan penyerang untuk menyimpulkan kunci enkripsi atau mengeksploitasi kelemahan dalam proses enkripsi [1] [9].
4. Paparan dan Manipulasi Data: Karena Deepseek juga menonaktifkan APP Transport Security (ATS) di iOS, yang mencegah data sensitif dari dikirim melalui saluran yang tidak terenkripsi, aplikasi mentransmisikan beberapa data tanpa enkripsi sama sekali. Ini memaparkan pengguna untuk serangan pasif dan aktif, di mana data dapat dicegat dan dimanipulasi [1] [7] [10].
5. Kekhawatiran Privasi dan Data kedaulatan: Transmisi data pengguna ke server yang dikelola oleh Hytedance, sebuah perusahaan Cina, menimbulkan kekhawatiran tentang tata kelola data di bawah yurisdiksi Cina. Ini termasuk potensi pengawasan tanpa surat perintah dan penyalahgunaan data, yang merupakan risiko privasi yang signifikan bagi pengguna [5] [6].
Singkatnya, penggunaan 3DE di Deepseek, dikombinasikan dengan kunci hardcode dan IV yang digunakan kembali, secara signifikan merusak keamanan dan privasi data pengguna. Kerentanan ini menjadikan aplikasi menjadi target untuk ancaman dunia maya dan pelanggaran data, menyoroti perlunya praktik enkripsi yang lebih kuat dan tata kelola data yang lebih baik.
Kutipan:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3.
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerability-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-dould-have-prevent-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/