DeepSeek truyền dữ liệu nhạy cảm của người dùng mà không sử dụng cơ chế mã hóa

Một cuộc điều tra mới đối với ứng dụng di động DeepSeek dành cho hệ điều hành Apple iOS đã phát hiện ra những vấn đề bảo mật nghiêm trọng, trong đó quan trọng nhất là ứng dụng này gửi dữ liệu nhạy cảm qua Internet mà không có bất kỳ mã hóa nào, khiến dữ liệu có nguy cơ bị chặn và tấn công.

Đánh giá này đến từ hãng bảo mật NowSecure (Mỹ), công ty cũng phát hiện ra rằng ứng dụng này không tuân thủ các biện pháp bảo mật tốt nhất và thu thập dữ liệu người dùng và thiết bị rộng rãi.

“Ứng dụng DeepSeek iOS gửi một số dữ liệu đăng ký ứng dụng di động và dữ liệu thiết bị qua Internet mà không mã hóa. Điều này khiến bất kỳ dữ liệu nào trong lưu lượng truy cập Internet đều có thể bị tấn công”, đại diện của NowSecure cho biết.

Việc phân tích cũng tiết lộ một số điểm yếu trong việc triển khai khi áp dụng mã hóa trên dữ liệu người dùng. Điều này bao gồm việc sử dụng thuật toán mã hóa đối xứng không an toàn (3DES), khóa mã hóa được hardcode và việc sử dụng lại các vectơ khởi tạo (IV).

Hơn nữa, dữ liệu được gửi đến các máy chủ được quản lý bởi nền tảng lưu trữ và điện toán đám mây có tên Volcano Engine, thuộc sở hữu của ByteDance (công ty Trung Quốc cũng điều hành TikTok).

Ứng dụng DeepSeek iOS vô hiệu hóa App Transport Security (ATS) trên toàn cầu, đây là một biện pháp bảo vệ cấp nền tảng iOS ngăn chặn dữ liệu nhạy cảm được gửi qua các kênh không được mã hóa. Vì biện pháp bảo vệ này bị vô hiệu hóa, ứng dụng có thể gửi dữ liệu không được mã hóa qua Internet.

Những phát hiện này làm tăng thêm danh sách ngày càng tăng các mối lo ngại được nêu ra xung quanh dịch vụ chatbot trí tuệ nhân tạo (AI), ngay cả khi dịch vụ này nhanh chóng vươn lên dẫn đầu bảng xếp hạng cửa hàng ứng dụng trên cả Android và iOS tại một số thị trường trên toàn thế giới.

Công ty an ninh mạng Check Point cho biết họ đã quan sát thấy các trường hợp tác nhân đe dọa tận dụng công cụ AI từ DeepSeek, cùng với Alibaba Qwen và OpenAI ChatGPT, để phát triển chương trình đánh cắp thông tin, tạo nội dung không bị kiểm duyệt hoặc không bị hạn chế và tối ưu hóa các tập lệnh để phát tán thư rác hàng loạt.

Check Point cho biết: “Khi những kẻ tấn công sử dụng các kỹ thuật tiên tiến như bẻ khóa (crack) để vượt qua các biện pháp bảo vệ và phát triển các phần mềm đánh cắp thông tin, dữ liệu tài chính và phát tán thư rác, việc các tổ chức triển khai các biện pháp phòng thủ chủ động chống lại các mối đe dọa đang phát triển này là hết sức cấp thiết để đảm bảo khả năng phòng thủ mạnh mẽ trước nguy cơ sử dụng sai mục đích các công nghệ AI”.

Trong một diễn biến mới đây, hãng thông tấn Associated Press tiết lộ rằng trang web của DeepSeek được cấu hình để gửi thông tin đăng nhập của người dùng đến China Mobile, một công ty viễn thông nhà nước đã bị cấm hoạt động tại Mỹ.

Các liên kết đến Trung Quốc của ứng dụng này, giống như TikTok, đã thúc đẩy các nhà lập pháp tại Mỹ đưa ra các lệnh cấm DeepSeek trên toàn quốc khỏi các thiết bị của chính phủ, vì lo ngại ứng dụng này có thể cung cấp thông tin người dùng cho Trung Quốc.

Sự bùng nổ về mức độ phổ biến của DeepSeek cũng khiến dịch vụ này phải đối mặt với các cuộc tấn công độc hại. Công ty an ninh mạng Trung Quốc XLab cho biết rằng dịch vụ này đã phải chịu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) liên tục có nguồn gốc từ botnet Mirai là HailBot và RapperBot vào cuối tháng 01/2025.