Việc sử dụng thuật toán 3DES trong ứng dụng DeepSeek gây ra rủi ro bảo mật đáng kể do bản chất lỗi thời và không an toàn của nó. Dưới đây là những rủi ro chi tiết liên quan đến việc sử dụng 3DE:
1. Sự bất an của 3DES: Thuật toán mã hóa ba DES (3DES) được coi là không an toàn và không an toàn. Nó đã từng là một tiêu chuẩn để mã hóa dữ liệu an toàn, nhưng nó đã được thay thế bởi các thuật toán an toàn hơn như AES do các lỗ hổng của nó. Sử dụng 3DE làm cho dữ liệu được mã hóa dễ bị giải mã bởi những kẻ tấn công, làm ảnh hưởng đến quyền riêng tư của người dùng và tính toàn vẹn dữ liệu [2] [4] [9].
2. Các khóa mã hóa được mã hóa cứng: Việc triển khai 3DE của DeepSeek liên quan đến các khóa mã hóa mã hóa trong mã của ứng dụng. Thực tiễn này rất không an toàn vì nó cho phép những kẻ tấn công tiềm năng trích xuất các khóa này từ ứng dụng, do đó có quyền truy cập để giải mã bất kỳ dữ liệu nào được mã hóa với chúng. Các khóa được mã hóa cứng loại bỏ các lợi ích bảo mật của mã hóa, vì chúng có thể dễ dàng phát hiện và khai thác [4] [9] [10].
3. Tái sử dụng các vectơ khởi tạo (IV): Việc tái sử dụng các vectơ khởi tạo (IV) kết hợp với 3DE làm suy yếu thêm mã hóa. IV có nghĩa là duy nhất cho mỗi hoạt động mã hóa để ngăn chặn các cuộc tấn công dựa vào các mẫu trong dữ liệu được mã hóa. Việc sử dụng lại IV giúp những kẻ tấn công dễ dàng suy ra khóa mã hóa hoặc khai thác các điểm yếu trong quá trình mã hóa [1] [9].
4. Tiếp xúc và thao tác dữ liệu: Vì DeepSeek cũng vô hiệu hóa bảo mật vận chuyển ứng dụng (ATS) trên iOS, điều này ngăn dữ liệu nhạy cảm được gửi qua các kênh không được mã hóa, ứng dụng truyền một số dữ liệu mà không có bất kỳ mã hóa nào. Điều này khiến người dùng đưa người dùng đến cả các cuộc tấn công thụ động và hoạt động, trong đó dữ liệu có thể bị chặn và thao tác [1] [7] [10].
9 Điều này bao gồm tiềm năng giám sát không bảo hành và lạm dụng dữ liệu, đó là những rủi ro quyền riêng tư đáng kể cho người dùng [5] [6].
Tóm lại, việc sử dụng 3DE trong DeepSeek, kết hợp với các khóa mã hóa cứng và IV được sử dụng lại, làm suy yếu đáng kể tính bảo mật và quyền riêng tư của dữ liệu người dùng. Các lỗ hổng này làm cho ứng dụng trở thành mục tiêu cho các mối đe dọa mạng và vi phạm dữ liệu, nhấn mạnh sự cần thiết phải thực hành mã hóa mạnh mẽ hơn và quản trị dữ liệu tốt hơn.
Trích dẫn:
[1)
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
.
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseeks-security-failures-faux-tx7re
.
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
.
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
.