Vô hiệu hóa bảo mật vận chuyển ứng dụng (ATS) trong ứng dụng DeepSeek làm tăng đáng kể các rủi ro liên quan đến việc sử dụng nó, đặc biệt liên quan đến quyền riêng tư và bảo mật dữ liệu. Đây là một lời giải thích chi tiết về những rủi ro này:
1. Truyền dữ liệu không được mã hóa: Bằng cách vô hiệu hóa ATS, DeepSeek cho phép truyền dữ liệu thiết bị và người dùng nhạy cảm qua các kênh không được mã hóa. Điều này có nghĩa là dữ liệu như thông tin đăng ký và chi tiết thiết bị được gửi mà không có bất kỳ mã hóa nào, khiến nó dễ dàng bị chặn bởi tội phạm mạng. Lỗ hổng này khiến người dùng gặp phải cả các cuộc tấn công thụ động và hoạt động, trong đó những kẻ tấn công không chỉ có thể chặn mà còn thao túng dữ liệu được truyền [3] [6] [9].
2. Các cuộc tấn công của người đàn ông trong trung gian (MITM): Việc thiếu mã hóa do sự vô hiệu hóa ATS tạo ra một điểm vào dễ dàng cho các cuộc tấn công giữa các trung gian. Trong các cuộc tấn công như vậy, kẻ tấn công có thể chặn và thay đổi giao tiếp giữa ứng dụng và máy chủ của nó, có khả năng dẫn đến hành vi trộm cắp dữ liệu hoặc tiêm nội dung độc hại [3].
3. Tăng nguy cơ mắc các cuộc tấn công mạng: Deepseek đã phải đối mặt với các cuộc tấn công mạng đáng kể và vô hiệu hóa ATS làm trầm trọng thêm lỗ hổng này. Bằng cách cho phép lưu lượng HTTP không được mã hóa, ứng dụng trở nên dễ bị tấn công trong tương lai, vì những kẻ tấn công có thể khai thác việc thiếu các biện pháp bảo mật để có quyền truy cập trái phép vào dữ liệu người dùng [2] [3].
4. Mối quan tâm về quyền riêng tư dữ liệu: DeepSeek thu thập dữ liệu người dùng và thiết bị rộng lớn, sau đó được truyền đến các máy chủ được quản lý bởi ByTEDANCE, một công ty Trung Quốc. Sự vắng mặt của ATS có nghĩa là dữ liệu này được gửi mà không cần mã hóa, làm tăng mối lo ngại nghiêm trọng về quyền riêng tư dữ liệu và lạm dụng tiềm năng của các bên thứ ba, bao gồm các thực thể do nhà nước tài trợ [2] [5] [9].
5. Thực tiễn mã hóa yếu: Ngoài vấn đề ATS, các phương pháp mã hóa của Deepseek cũng bị thiếu sót. Ứng dụng sử dụng thuật toán mã hóa đối xứng không an toàn (3DE) với các khóa mã hóa cứng và vectơ khởi tạo được sử dụng lại, làm suy yếu thêm việc bảo vệ dữ liệu người dùng. Thực tiễn mã hóa kém này, kết hợp với việc thiếu ATS, giúp những kẻ tấn công dễ dàng giải mã và khai thác thông tin nhạy cảm hơn [6] [9].
Tóm lại, việc vô hiệu hóa ATS trong DeepSeek làm tăng nguy cơ đánh chặn dữ liệu, thao túng và khai thác bởi tội phạm mạng. Nó cũng nêu bật những mối quan tâm rộng lớn hơn về quyền riêng tư và bảo mật dữ liệu, đặc biệt là đưa ra các thực tiễn thu thập dữ liệu rộng rãi của ứng dụng và truyền dữ liệu đến các máy chủ được liên kết với các thực thể Trung Quốc.
Trích dẫn:
[1] https://cocoacasts.com/the-definitive-guide-to-app-transport-security
[2] https://sbscyber.com/blog/deepseek-ai-dangers
[3] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-prevented-the-damage
.
[5] https://secur toàn
[6] https://www.connectyourplatform.com/blogs/deepseek-os
[7] https://sdks.support.brightcove.com/ios/framework/working-app-transport-security-ats.html
[8] https://www.csis.org/analysis/delving-dangers-deepseek
[9] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html