DeepSeek, công nghệ xuất hiện rất nhanh trong thế giới AI nhỏ bé nhờ các mô hình hiệu quả và giá thành rẻ, cũng không phải không có lời chỉ trích. NowSecure đã thực hiện một nghiên cứu đáng báo động về tính bảo mật tương đối của ứng dụng iOS, có tác động đến quyền riêng tư dữ liệu.
Hóa ra, ứng dụng này truyền một số dữ liệu nhạy cảm mà không được mã hóa, khiến người dùng có nguy cơ bị tấn công có khả năng gây hậu quả nghiêm trọng. DeepSeek vô hiệu hóa tính năng bảo vệ App Transport Security (ATS) của Apple, tính năng này áp dụng kết nối HTTPS an toàn theo mặc định. Kẻ tấn công có thể chặn dữ liệu này bằng cách theo dõi lưu lượng mạng.
Khi xem xét riêng lẻ, từng dữ liệu được DeekSeek thu thập đều không gây ra nhiều tác hại. Nhưng việc tổng hợp thông tin này có khả năng cho phép theo dõi và xác định danh tính người dùng. Tin tặc cũng có thể sửa đổi dữ liệu trong quá trình truyền tải (gọi là "tấn công trung gian") và làm tổn hại đến tính toàn vẹn và tính bảo mật của quá trình trao đổi.
Và trong trường hợp ứng dụng sử dụng mã hóa để truyền dữ liệu (đối với mã định danh người dùng, một số thông tin liên lạc với máy chủ, v.v.), phương pháp được sử dụng là yếu. Thuật toán 3DES đã được coi là không an toàn trong nhiều năm.
Hơn nữa, các khóa mã hóa được mã hóa cứng vào mã nguồn của ứng dụng, khiến chúng dễ bị tin tặc khai thác trái phép khi có được chúng (điều này có thể thực hiện được mà không cần phải truy cập vật lý vào thiết bị). Khóa mã hóa được cho là phải được giữ bí mật, nhưng trong DeepSeek, nó được viết vào mã của ứng dụng.
Nghiên cứu cũng tiết lộ rằng ứng dụng truyền dữ liệu đến các máy chủ đặt tại Trung Quốc và được kiểm soát bởi... Bytedance, nhà sáng tạo ra TikTok. Vì vậy, chúng được lưu trữ dưới một thẩm quyền không mấy quan tâm đến tính bảo mật và trao cho Bắc Kinh quyền giám sát rất lớn. Điều này cũng có nghĩa là TikTok có thể bị cấm tại Hoa Kỳ.
Benoit Grunemwald, chuyên gia an ninh mạng tại ESET Pháp, đã xác nhận điều này với 01net: "Chính sách bảo mật của DeepSeek tiết lộ rằng dữ liệu người dùng được lưu trữ trên các máy chủ ở Trung Quốc." Dữ liệu này có thể "bao gồm lịch sử trò chuyện, tệp đã tải xuống và các thông tin nhạy cảm khác."
Vì vậy, tốt nhất là tránh DeepSeek như tránh bệnh dịch hạch để tránh rắc rối! Con bot này cũng là chủ đề của một số cuộc điều tra, chẳng hạn như ở Ý. Úc đã cấm sử dụng DeepSeek trong hệ thống hành chính của mình. Và tại Hoa Kỳ, một dự luật quy định mức án tù lên tới 20 năm (!) đối với người dùng dịch vụ của Trung Quốc.
Nguồn: NowSecure
Mối đe dọa đến quyền riêng tư và bảo mật dữ liệu
Hóa ra, ứng dụng này truyền một số dữ liệu nhạy cảm mà không được mã hóa, khiến người dùng có nguy cơ bị tấn công có khả năng gây hậu quả nghiêm trọng. DeepSeek vô hiệu hóa tính năng bảo vệ App Transport Security (ATS) của Apple, tính năng này áp dụng kết nối HTTPS an toàn theo mặc định. Kẻ tấn công có thể chặn dữ liệu này bằng cách theo dõi lưu lượng mạng.
Khi xem xét riêng lẻ, từng dữ liệu được DeekSeek thu thập đều không gây ra nhiều tác hại. Nhưng việc tổng hợp thông tin này có khả năng cho phép theo dõi và xác định danh tính người dùng. Tin tặc cũng có thể sửa đổi dữ liệu trong quá trình truyền tải (gọi là "tấn công trung gian") và làm tổn hại đến tính toàn vẹn và tính bảo mật của quá trình trao đổi.
Và trong trường hợp ứng dụng sử dụng mã hóa để truyền dữ liệu (đối với mã định danh người dùng, một số thông tin liên lạc với máy chủ, v.v.), phương pháp được sử dụng là yếu. Thuật toán 3DES đã được coi là không an toàn trong nhiều năm.
Hơn nữa, các khóa mã hóa được mã hóa cứng vào mã nguồn của ứng dụng, khiến chúng dễ bị tin tặc khai thác trái phép khi có được chúng (điều này có thể thực hiện được mà không cần phải truy cập vật lý vào thiết bị). Khóa mã hóa được cho là phải được giữ bí mật, nhưng trong DeepSeek, nó được viết vào mã của ứng dụng.
Nghiên cứu cũng tiết lộ rằng ứng dụng truyền dữ liệu đến các máy chủ đặt tại Trung Quốc và được kiểm soát bởi... Bytedance, nhà sáng tạo ra TikTok. Vì vậy, chúng được lưu trữ dưới một thẩm quyền không mấy quan tâm đến tính bảo mật và trao cho Bắc Kinh quyền giám sát rất lớn. Điều này cũng có nghĩa là TikTok có thể bị cấm tại Hoa Kỳ.
Benoit Grunemwald, chuyên gia an ninh mạng tại ESET Pháp, đã xác nhận điều này với 01net: "Chính sách bảo mật của DeepSeek tiết lộ rằng dữ liệu người dùng được lưu trữ trên các máy chủ ở Trung Quốc." Dữ liệu này có thể "bao gồm lịch sử trò chuyện, tệp đã tải xuống và các thông tin nhạy cảm khác."
Vì vậy, tốt nhất là tránh DeepSeek như tránh bệnh dịch hạch để tránh rắc rối! Con bot này cũng là chủ đề của một số cuộc điều tra, chẳng hạn như ở Ý. Úc đã cấm sử dụng DeepSeek trong hệ thống hành chính của mình. Và tại Hoa Kỳ, một dự luật quy định mức án tù lên tới 20 năm (!) đối với người dùng dịch vụ của Trung Quốc.
Nguồn: NowSecure
