Menonaktifkan Aplikasi Transport Security (ATS) di aplikasi Deepseek secara signifikan meningkatkan risiko yang terkait dengan penggunaannya, terutama mengenai privasi dan keamanan data. Berikut penjelasan terperinci tentang risiko ini:
1. Transmisi Data yang Tidak Terenkripsi: Dengan menonaktifkan ATS, Deepseek memungkinkan transmisi data pengguna dan perangkat yang sensitif melalui saluran yang tidak terenkripsi. Ini berarti bahwa data seperti informasi pendaftaran dan detail perangkat dikirim tanpa enkripsi, sehingga mudah dicegat oleh penjahat cyber. Kerentanan ini memaparkan pengguna untuk serangan pasif dan aktif, di mana penyerang tidak hanya dapat mencegat tetapi juga memanipulasi data yang ditransmisikan [3] [6] [9].
2. Serangan Man-In-The-Middle (MITM): Kurangnya enkripsi karena ATS Disablement menciptakan titik masuk yang mudah untuk serangan manusia-di-menengah. Dalam serangan seperti itu, penyerang dapat mencegat dan mengubah komunikasi antara aplikasi dan servernya, berpotensi mengarah ke pencurian data atau injeksi konten jahat [3].
3. Peningkatan risiko serangan siber: Deepseek telah menghadapi serangan cyber yang signifikan, dan melumpuhkan ATS memperburuk kerentanan ini. Dengan memungkinkan lalu lintas HTTP yang tidak terenkripsi, aplikasi menjadi lebih rentan terhadap serangan di masa depan, karena penyerang dapat mengeksploitasi kurangnya langkah -langkah keamanan untuk mendapatkan akses yang tidak sah ke data pengguna [2] [3].
4. Kekhawatiran Privasi Data: Deepseek mengumpulkan data pengguna dan perangkat yang luas, yang kemudian dikirim ke server yang dikelola oleh Hytedance, sebuah perusahaan Cina. Tidak adanya ATS berarti data ini dikirim tanpa enkripsi, meningkatkan kekhawatiran serius tentang privasi data dan potensi penyalahgunaan oleh pihak ketiga, termasuk entitas yang disponsori negara [2] [5] [9].
5. Praktik enkripsi yang lemah: Di luar masalah ATS, metode enkripsi Deepseek juga cacat. Aplikasi ini menggunakan algoritma enkripsi simetris yang tidak aman (3DE) dengan kunci hardcoded dan vektor inisialisasi yang digunakan kembali, lebih lanjut melemahkan perlindungan data pengguna. Praktik enkripsi yang buruk ini, dikombinasikan dengan kurangnya ATS, memudahkan penyerang untuk mendekripsi dan mengeksploitasi informasi sensitif [6] [9].
Singkatnya, menonaktifkan ATS di Deepseek meningkatkan risiko intersepsi data, manipulasi, dan eksploitasi oleh penjahat cyber. Ini juga menyoroti kekhawatiran yang lebih luas tentang privasi dan keamanan data, terutama mengingat praktik pengumpulan data yang luas dan transmisi data ke server yang terkait dengan entitas Cina.
Kutipan:
[1] https://cocoacasts.com/the-definitive-guide-to-app-pransport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-dould-have-prevent-the-damage
[4] https://www.infosecinstitute.com/resources/application-security/ios-application-security-part-46-app-transport-security/
[5] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[6] https://www.connectyourplatform.com/blogs/deepseek-ios
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html