Các lỗ hổng bảo mật nghiêm trọng trong DeepSeek iOS: gửi dữ liệu không mã hóa tới máy chủ ByteDance

- DeepSeek, công ty có trụ sở tại Trung quốc, đã phát hành chatbot AI nguồn mở có khả năng suy luận ngang tầm với OpenAI và nhanh chóng vươn lên vị trí số 1 trên App Store iPhone

- Công ty bảo mật di động NowSecure phát hiện ứng dụng này gửi dữ liệu nhạy cảm qua kênh không mã hóa, cho phép bất kỳ ai có thể theo dõi và can thiệp vào dữ liệu

- Dữ liệu được gửi tới máy chủ do ByteDance kiểm soát, công ty sở hữu TikTok. Mặc dù một số dữ liệu được mã hóa TLS nhưng sau khi giải mã tại máy chủ ByteDance, dữ liệu có thể bị kết hợp với dữ liệu người dùng từ nguồn khác để nhận dạng và theo dõi

- Các vấn đề bảo mật nghiêm trọng được phát hiện:
  -  Vô hiệu hóa toàn cục ATS (App Transport Security) của Apple
  -  Sử dụng mã hóa 3DES đã lỗi thời từ 2016
  -  Khóa mã hóa giống nhau cho mọi người dùng iOS và được mã hóa cứng trong ứng dụng

- Dữ liệu không mã hóa bao gồm: ID tổ chức, phiên bản SDK, phiên bản hệ điều hành người dùng, ngôn ngữ cấu hình

- DeepSeek lưu trữ dữ liệu tại máy chủ ở Trung quốc và có thể chia sẻ thông tin với cơ quan thực thi pháp luật

- Các nghiên cứu khác cũng chỉ ra:
  -  Tỷ lệ thất bại 100% trước 50 prompt độc hại
  -  Phát hiện cơ sở dữ liệu có thể truy cập công khai chứa hơn 1 triệu lịch sử chat và thông tin nhạy cảm

- Quốc hội Mỹ đang xem xét cấm DeepSeek trên các thiết bị chính phủ trong vòng 60 ngày vì lo ngại an ninh quốc gia

📌 Ứng dụng DeepSeek iOS tiềm ẩn nhiều rủi ro bảo mật nghiêm trọng khi gửi dữ liệu không mã hóa tới máy chủ ByteDance tại Trung quốc. Với 1 triệu bản ghi lộ thông tin nhạy cảm và khả năng chia sẻ dữ liệu với chính phủ, ứng dụng này đang đối mặt với lệnh cấm tại Mỹ.

https://arstechnica.com/security/2025/02/deepseek-ios-app-sends-data-unencrypted-to-bytedance-controlled-servers/