DeepSeek gửi dữ liệu không mã hóa tới máy chủ Trung Quốc

DeepSeek nhanh chóng vươn lên đứng đầu bảng xếp hạng App Store, trở thành ứng dụng AI được tải xuống nhiều nhất, thậm chí vượt qua cả ChatGPT trong tháng đầu tiên ra mắt. Tuy nhiên, ngay từ khi xuất hiện, ứng dụng này đã gây lo ngại về vấn đề quyền riêng tư và bảo mật. Mới đây, một báo cáo tiết lộ rằng DeepSeek đang gửi dữ liệu không mã hóa đến các máy chủ tại Trung Quốc do nhiều lỗ hổng nghiêm trọng trong phiên bản iOS của ứng dụng.

Ứng dụng DeepSeek trên iOS đe dọa bảo mật khi truyền dữ liệu không mã hóa đến máy chủ Trung Quốc

Trước đó, đã có nhiều lo ngại về DeepSeek, đặc biệt là việc ứng dụng này không có các bộ lọc nội dung, có thể khiến người dùng gặp rủi ro pháp lý khi đặt câu hỏi nhạy cảm. Ngoài ra, các quan chức Mỹ cũng đang điều tra về nguy cơ an ninh quốc gia khi ứng dụng này có thể âm thầm gửi dữ liệu của người dùng đến Trung Quốc mà không có sự đồng ý.

Theo công ty bảo mật di động NowSecure, DeepSeek trên iOS chứa nhiều lỗ hổng bảo mật nghiêm trọng. Cụ thể, ứng dụng này không sử dụng App Transport Security (ATS) – hệ thống bảo mật của Apple nhằm đảm bảo dữ liệu nhạy cảm chỉ được truyền qua các kênh mã hóa. NowSecure phát hiện rằng DeepSeek đã vô hiệu hóa hoàn toàn tính năng này trên iOS:

“Ứng dụng DeepSeek trên iOS vô hiệu hóa hoàn toàn App Transport Security (ATS), một biện pháp bảo vệ cấp nền tảng của iOS nhằm ngăn dữ liệu nhạy cảm bị gửi qua các kênh không mã hóa. Do tính năng bảo vệ này bị tắt, ứng dụng có thể (và thực tế là đã) truyền dữ liệu không mã hóa qua internet.”

Nguy cơ bị theo dõi và khai thác dữ liệu cá nhân

Mặc dù dữ liệu bị lộ có vẻ không quá nhạy cảm khi xem xét riêng lẻ, nhưng theo NowSecure, việc thu thập nhiều điểm dữ liệu theo thời gian có thể dễ dàng giúp xác định danh tính người dùng.

“Dữ liệu bị rò rỉ từ DeepSeek có thể không nguy hiểm khi xét riêng lẻ, nhưng khi tổng hợp nhiều điểm dữ liệu theo thời gian, việc nhận diện cá nhân trở nên dễ dàng. Vụ rò rỉ dữ liệu từ Gravy Analytics gần đây cho thấy loại dữ liệu này đang bị thu thập ở quy mô lớn và có thể nhanh chóng giúp xác định danh tính hàng triệu người.”

Ngoài ra, DeepSeek cũng sử dụng các phương thức mã hóa lỗi thời và kém bảo mật, khiến dữ liệu người dùng dễ bị tấn công. Điều đáng lo ngại hơn, dữ liệu thu thập từ DeepSeek có thể được sử dụng để xác định các mục tiêu tình báo.

“Một người dùng mẫu đang sử dụng iPad mới nhất với kết nối dữ liệu di động được đăng ký trên FirstNet (mạng băng thông rộng công cộng dành cho an ninh quốc gia Mỹ), điều này khiến họ trở thành mục tiêu có giá trị cao đối với hoạt động gián điệp.”

Không chỉ thu thập hàng chục điểm dữ liệu từ ứng dụng DeepSeek trên iOS, dữ liệu liên quan từ hàng triệu ứng dụng khác cũng có thể được thu thập, mua bán và kết hợp để dễ dàng xác định danh tính người dùng.

DeepSeek đối mặt với nguy cơ bị cấm

Phân tích đầy đủ của NowSecure kết luận rằng ứng dụng DeepSeek trên iOS không an toàn, và phiên bản trên Android thậm chí còn tệ hơn. Nếu DeepSeek không nhanh chóng khắc phục các vấn đề về bảo mật và quyền riêng tư, ứng dụng này có thể chịu chung số phận với TikTok – bị cấm hoàn toàn hoặc buộc phải bán lại cho một công ty Mỹ để tiếp tục hoạt động.