Un raport recent evidențiază vulnerabilități grave în aplicațiile de sănătate mentală, expunând riscuri pentru confidențialitatea utilizatorilor. Studiul arată că multe dintre aceste aplicații promit siguranță, însă se confruntă cu probleme tehnice care pot compromite datele sensibile și intimitatea persoanelor.

Constatările principale ale raportului

Raportul Oversecured, prezentat de BleepingComputer, identifică 54 de vulnerabilități de severitate mare, 538 de severitate medie și 983 de vulnerabilități de nivel scăzut. Deși nu sunt semnalate probleme critice, numărul mare de breșe indică o igienă de securitate deficitare în mai multe aplicații analizate. Cercetătorii subliniază riscurile de interceptare a credențialelor, falsificare a notificărilor, injecții HTML și localizare.

Exemple concrete de vulnerabilități tehnice

Printre cazurile prezentate se numără utilizarea nesigură a funcției Intent.parseUri() într-o aplicație de terapie, care are peste un milion de descărcări. Aceasta procesează șiruri externe fără validare și lansează activități interne expuse riscului de atac, inclusiv zone gestionând tokenuri de autentificare. Exploatarea poate duce la acces neautorizat la datele de terapie ale utilizatorilor.

Un alt punct critic evidențiat este stocarea locală a datelor într-un mod accesibil altor aplicații din telefon. Astfel, informațiile precum jurnale, notițe, scoruri de evaluare sau alte detalii intime pot fi expuse, nefiind protejate de măsuri de securitate adecvate.

De asemenea, cercetătorii au identificat configurări în clar în fișierele aplicațiilor, inclusiv endpoint-uri backend și URL-uri Firebase hardcodate. Unele aplicații utilizează java.util.Random pentru generarea tokenurilor, o metodă nesigură din punct de vedere criptografic, indicând o abordare superficială a securității în procesul de dezvoltare.

Valoarea și vulnerabilitatea datelor de sănătate mintală

Valoarea acestor informații pentru atacatori este considerabilă. Sergey Toshin, fondatorul Oversecured, avertizează că datele de terapie sunt printre cele mai sensibile și pot avea o valoare de până la 1.000 de dolari per profil pe piețele ilegale. Aceste date pot fi folosite pentru șantaj, phishing țintit, fraudă de identitate sau manipulare psihologică.

Raportul menționează că informațiile colectate pot include istoricul emoțional, episoade de depresie, anxietate, autovătămare sau tratamente, având un impact profund asupra vieții utilizatorilor. În plus, unele aplicații colectează date ce pot intra sub incidența reglementărilor stricte, precum cele medicale, ridicând întrebări despre responsabilitatea companiilor.

Starea actualizărilor și riscul de vulnerabilități necorectate

Doar patru din cele zece aplicații analizate au primit actualizări în luna publicării raportului. Altele aveau ultimele evenimente de mentenanță în 2024 sau 2025. Cercetările au fost realizate între 22 și 23 ianuarie 2026, moment în care vulnerabilitățile erau preponderent nedepistate. Numeroase aplicații nu au fost încă remediate, fiind prezentate riscuri pentru utilizatorii faptului că pot fi expuși la breșe necunoscute.

De menționat, faptul că o aplicație fără vulnerabilități de severitate ridicată nu este automat sigură. Șase din cele zece aplicații aveau vulnerabilități medii, care deși mai puțin grave, pot fi exploatate în combinație pentru atacuri eficiente.

Recomandări pentru utilizatorii de aplicații de sănătate mintală

Este crucial ca utilizatorii să monitorizeze frecvența actualizărilor și să examineze politicile de confidențialitate și securitate. Utilizarea autentificării în doi pași, a blocării biometrice sau a altor măsuri suplimentare poate crește protecția datelor personale.

Este indicat să se evite introducerea unor informații extrem de sensibile în aplicații dacă nu se are încredere deplină în provider. În special în cazul chatboților AI sau jurnalelor personale, volumul de informații intime trebuie gestionat cu responsabilitate.

Raportul evidențiază că, în domeniul sănătății mintale, protecția datelor trebuie tratată cu prioritate, pentru a preveni accesul neautorizat și posibile utilizări abuzive. În condițiile în care confidențialitatea acestor date este fundamentală, securitatea tehnică trebuie să primeze în dezvoltarea și întreținerea acestor aplicații.