การใช้อัลกอริทึม 3DES ในแอพ Deepseek มีความเสี่ยงด้านความปลอดภัยที่สำคัญเนื่องจากลักษณะที่ล้าสมัยและไม่ปลอดภัย นี่คือความเสี่ยงโดยละเอียดที่เกี่ยวข้องกับการใช้ 3DES:
1. ความไม่มั่นคงของ 3DES: อัลกอริทึมการเข้ารหัส Triple DES (3DES) ถือว่าไม่ปลอดภัยและเลิกใช้อย่างกว้างขวาง ครั้งหนึ่งมันเคยเป็นมาตรฐานสำหรับการเข้ารหัสข้อมูลที่ปลอดภัย แต่ได้รับการแทนที่ด้วยอัลกอริทึมที่ปลอดภัยยิ่งขึ้นเช่น AES เนื่องจากช่องโหว่ การใช้ 3DES ทำให้ข้อมูลที่เข้ารหัสมีความอ่อนไหวต่อการถอดรหัสโดยผู้โจมตีประนีประนอมความเป็นส่วนตัวของผู้ใช้และความสมบูรณ์ของข้อมูล [2] [4] [9]
2. ปุ่มเข้ารหัส HardCoded: การใช้งาน 3DES ของ Deepseek เกี่ยวข้องกับปุ่มเข้ารหัส hardcoding ภายในรหัสของแอป การปฏิบัตินี้ไม่ปลอดภัยอย่างมากเนื่องจากช่วยให้ผู้โจมตีที่มีศักยภาพสามารถแยกคีย์เหล่านี้ออกจากแอพได้ซึ่งจะช่วยให้สามารถถอดรหัสข้อมูลใด ๆ ที่เข้ารหัสได้ ปุ่ม Hardcoded กำจัดประโยชน์ด้านความปลอดภัยของการเข้ารหัสเนื่องจากสามารถค้นพบและใช้ประโยชน์ได้ง่าย [4] [9] [10]
3. การใช้ยาเริ่มต้นซ้ำ (IVs): การใช้ซ้ำของเวกเตอร์การเริ่มต้น (IVs) ร่วมกับ 3DES จะทำให้การเข้ารหัสอ่อนลง IVs นั้นมีความเป็นเอกลักษณ์สำหรับการดำเนินการเข้ารหัสแต่ละครั้งเพื่อป้องกันการโจมตีที่พึ่งพารูปแบบในข้อมูลที่เข้ารหัส การใช้ IVS ซ้ำทำให้ผู้โจมตีได้ง่ายขึ้นในการอนุมานกุญแจเข้ารหัสหรือใช้ประโยชน์จากจุดอ่อนในกระบวนการเข้ารหัส [1] [9]
4. การเปิดรับข้อมูลและการจัดการ: เนื่องจาก Deepseek ปิดการใช้งาน App Transport Security (ATS) บน iOS ซึ่งป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนจากการถูกส่งผ่านช่องทางที่ไม่ได้เข้ารหัสแอปจะส่งข้อมูลบางอย่างโดยไม่มีการเข้ารหัสใด ๆ เลย สิ่งนี้ทำให้ผู้ใช้มีการโจมตีทั้งแบบพาสซีฟและที่ใช้งานอยู่ซึ่งข้อมูลสามารถสกัดกั้นและจัดการได้ [1] [7] [10]
5. ความกังวลด้านความเป็นส่วนตัวและข้อมูลอธิปไตย: การส่งข้อมูลผู้ใช้ไปยังเซิร์ฟเวอร์ที่จัดการโดย BATTEDANCE ซึ่งเป็น บริษัท จีนทำให้เกิดความกังวลเกี่ยวกับการกำกับดูแลข้อมูลภายใต้เขตอำนาจศาลของจีน ซึ่งรวมถึงศักยภาพในการเฝ้าระวังที่ไม่มีการรับประกันและการใช้ข้อมูลในทางที่ผิดซึ่งเป็นความเสี่ยงด้านความเป็นส่วนตัวที่สำคัญสำหรับผู้ใช้ [5] [6]
โดยสรุปการใช้ 3DES ใน Deepseek รวมกับกุญแจฮาร์ดโค้ดและ IV ที่นำกลับมาใช้ใหม่จะทำลายความปลอดภัยและความเป็นส่วนตัวของข้อมูลผู้ใช้อย่างมีนัยสำคัญ ช่องโหว่เหล่านี้ทำให้แอพเป็นเป้าหมายสำหรับภัยคุกคามทางไซเบอร์และการละเมิดข้อมูลโดยเน้นถึงความจำเป็นในการฝึกการเข้ารหัสที่แข็งแกร่งยิ่งขึ้นและการกำกับดูแลข้อมูลที่ดีขึ้น
การอ้างอิง:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-2677442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-deepseks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-vulnerabilitial-in-deepseek-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-mage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/