DeepSeek Và Mối Nguy Hiểm Không Ai Nói Với Bạn
Trong một thế giới mà công nghệ đang ngày càng phát triển, các công ty, doanh nghiệp càng ứng dụng những bước tiến mới vào trong công việc để hỗ trợ cho công việc. Một trong số các đột phá trong công nghệ đó là trí tuệ nhân tạo (AI) với nhiều công ty, tập đoàn lớn đầu tư, xây dựng và phát triển như ChatGPT của OpenAI, Gemini của Google DeepMind, GitHub Copilot của GitHub… Một trong những AI mới nổi gần đây đang gây sốt trên toàn thế giới đến từ đất nước tỷ dân Trung Quốc mang tên DeepSeek, mang lại nhiều thú vị với những công nghệ hoàn toàn mới, sử dụng mã nguồn mở, tiêu tốn ít tài nguyên. Tuy nhiên gần đây, các nhà nghiên cứu đã phát hiện vấn đề bảo mật và dữ liệu người dùng trong ứng dụng DeepSeek trên iOS, gây ảnh hưởng đến an toàn thông tin.
Các mối đe dọa đến từ DeepSeek iOS
Các nhà nghiên cứu đến từ NowSecure đã thực hiện phân tích ứng dụng di động DeepSeek iOS và phát hiện một số lỗ hổng liên quan khiến cho các cá nhân, doanh nghiệp và nhân viên chính phủ vào nguy cơ lộ lọt thông tin nhạy cảm. Các nguy cơ mà NowSecure phát hiện bao gồm:
- Truyền dữ liệu không mã hóa
- Các khóa mã hóa yếu và cố định
- Lưu trữ dữ liệu không an toàn
- Thu thập dữ liệu mở rộng
- Dữ liệu được gửi tới Trung Quốc và chịu sự giám sát bởi pháp luật tại đây
Dữ liệu không được mã hóa và có thể bị sửa đổi trên đường truyền mạng
Ứng dụng DeepSeek iOS sẽ gửi thông tin đăng ký và dữ liệu thiết bị trên Internet mà không hề mã hóa. Điều này rất nguy hiểm, có thể khiến cho kẻ tấn công theo dõi đường truyền mạng và có được các thông tin quan trọng liên quan đến người sử dụng ứng dụng DeepSeek. Mặc dù Apple đã có các cơ chế bảo vệ tích hợp sẵn để ngăn ngừa các nhà phát triển dính phải lỗ hổng này, tuy nhiên chức năng này với ứng dụng DeepSeek iOS đã bị vô hiệu hóa trên toàn cầu.
Kẻ tấn công có thể sử dụng kỹ thuật nghe lén người đứng giữa (Man-in-the-Middle – MITM) có thể chặn bắt và chỉnh sửa dữ liệu, gây mất an toàn tính toàn vẹn của ứng dụng cũng như dữ liệu. Cuối năm 2024, một vụ tấn công vào các nhà cung cấp dịch vụ Internet tại Mỹ bởi một nhóm các hacker tới từ Trung Quốc tên là Salt Typhoon. Nhóm hacker này có liên hệ tới chính phủ Trung Quốc và rất có mối nguy nếu như nhóm tấn công này thực hiện hành vi nghe lén trên đường truyền ứng dụng DeepSeek iOS.
Khi người dùng lần đầu chạy ứng dụng, nó sẽ kết nối tới backend của DeepSeek để thực hiện cấu hình, đăng ký và thiết lập hồ sơ cho thiết bị. Dưới đây là một ví dụ về một request không được mã hóa:
Như có thể thấy, dữ liệu được truyền đi không an toàn, ngôn ngữ được cài đặt cho thiết bị, user agent, thông tin ID của tổ chức, thông tin cơ bản về thiết bị… được thể hiện rõ trong request tới server. Mặc dù các data riêng biệt thì không có nguy cơ cao, thế nhưng một việc tổng hợp dữ liệu lớn theo thời gian có thể xác định được các nhân, tương tự như vụ vi phạm dữ liệu của Gravy Analytics khi gây lộ 30 triệu dữ liệu vị trí của khách hàng.
Ngoài ra ứng dụng còn vô hiệu hóa App Transpport Security (ATS), là một biện pháp bảo vệ trên iOS ngăn không cho các dữ liệu nhạy cảm được gửi thông qua kênh không được mã hóa.
Mã hóa đối xứng không an toàn với khóa cố định
Để bảo vệ tính bí mật và toàn vẹn của dữ liệu, các ứng dụng sẽ sử dụng mã hóa dữ liệu và các biện pháp mã hóa này cần được thiết lập đúng cách. NowSecure phát hiện một số điểm yếu trong mã hóa bao gồm:
- Sử dụng thuật toán mã hóa đối xứng không an toàn (3DES). Đây là thuật toán mã hóa không còn được đánh giá là an toàn để đảm bảo tính bí mật của dữ liệu.
- Khóa mã hóa được cố định sẵn trong mã nguồn
- Sử dụng NIL cho Initialization Vector (IV)
- Tái sử dụng Initialization Vector (IV)
Khi thực hiện phân tích sâu vào ứng dụng, các nhà nghiên cứu của NowSecure phát hiện ra thuật toán được sử dụng có khóa được cố định sẵn (hardcoded) và Initialization Vector (IV – vector khởi tạo) có giá trị các bit là 0. Điều này có rủi ro bảo mật cao và không được khuyến khích khi phát triển các ứng dụng.
Thông tin Username, Password và khóa mã hóa được lưu trữ không an toàn
Các thông tin nhạy cảm như username, password… được lưu trong cached database của thiết bị. Trong một số trường hợp, nhất là khi truy cập vật lý vào một thiết bị đã mở khóa, các thông tin nhạy cảm này có thể được khôi phục và sử dụng bởi kẻ tấn công.
Thu thập dữ liệu
Các nhà nghiên cứu phát hiện rằng một số thông tin đang được thu thập và truyền đi bởi ứng dụng DeepSeek iOS. Hiện nay rất nhiều ứng ứng dụng cũng thu thập dữ liệu người dùng nhưng rất điều này rất quan trọng để chúng ta hiểu được các vấn đề liên quan đến quyền riêng tư.
Dữ liệu dược gửi tới Volcengine, một nền tảng dịch vụ cloud ra mắt bởi Bytedance vào 2021 để hỗ trợ các doanh nghiệp chuyển đổi số và có kết nối tới Trung Quốc. Các thông tin nhạy cảm và dữ liệu cho mục đích lưu vết và theo dõi được in đậm như trong bảng sau:
Dưới đây là hình ảnh liên quan tới dữ liệu theo dõi được xử lý bởi ứng dụng, trong đó có trường a67 là tên thiết bị và đa số trên thiết bị iOS là tên khách hàng theo sau là thiết bị iOS.
Ứng dụng cũng tích hợp với Intercom iOS SDK và dữ liệu được trao đổi giữa hai bên. Như bức hình dưới đây có thể thấy được ràng các thông tin này có thể dẫn tới việc xác định được người dùng.
Có rất nhiều công ty gửi dữ liệu tới máy chủ tại các nước sở tại để tăng hiệu quả xử lý, vấn đề liên quan đến pháp luật. Kể cả khi một địa chỉ IP được đặt tại Mỹ, nhưng có thể các dữ liệu có thể chuyển, xử lý và truy cập từ Trung Quốc, ví dụ như là trường hợp của Bytedance. Trong trường hợp của ứng dụng DeepSeek iOS, nếu người dùng ở Mỹ, khi dữ liệu được gửi tới volces.com mà phân giải thành địa chỉ IP:
Hoặc nếu người dùng ở Việt Nam:
Như đề cập từ trước, Volcesgine là một nền tảng cloud được phát triển bởi Bytedance, công ty phát triển ứng dụng Tiktok có các bê bối liên quan đến vấn đề dữ liệu người dùng. Và có thể thấy các IP 47.246.23.230 (đối với người dùng tại Mỹ) và 163.181.199.245 (người dùng tại Việt Nam) đều thuộc về Zhejiang Taobao Network Co.,Ltd thuộc tập đoàn Alibaba.
Vấn đề Chính sách bảo mật và điều khoản dịch vụ
Trong chính sách bảo mật và điều khoản dịch vụ của ứng dụng, có thể thấy được rằng dữ liệu thu thập sẽ được gửi về Trung Quốc và cách chúng được quản lý.
Khuyến nghị
Các nhà nghiên cứu đến từ NowSecure khuyến nghị:
- Không sử dụng ứng dụng DeepSeek iOS cho đến khi các vấn đề liên quan đến bảo và riêng tư được khắc phục, nhất là trên các thiết bị doanh nghiệp, công việc liên quan đến chính phủ, tài chính, doanh nghiệp…
- Xác định các dữ liệu thu thập, vấn đề riêng tư, điều khoản dịch vụ mà đặt tổ chức vào nguy cơ mất an toàn thông tin.
- Tìm hiểu, nghiên cứu các giải pháp AI thay thế khác mà có mức độ bảo mật tốt hơn.
Một vài quốc gia đã có động thái cấm sử dụng DeepSeek trên các thiết bị chính phủ như Úc, Hà Lan, Đài Loan, Hàn Quốc, Ấn Độ và Mỹ. Ngoài ra các tội phạm an ninh mạng cũng đang tích cực tận dụng DeepSeek để thiết lập các trang web tương tự để phân phối mã độc, lừ đảo, gian lận tiền điện tử… Nên người dùng cũng cần phải cảnh giác trước nhưng mối nguy này.
Tham khảo
