România — O analiză recentă a security-ului aplicațiilor de sănătate mentală a scos în evidență vulnerabilități grave care pot compromite confidențialitatea utilizatorilor. Un raport detaliat indică faptul că majoritatea acestor aplicații prezintă probleme tehnice serioase, iar promisiunile publice de confidențialitate se confruntă cu riscuri reale de exploatare.
Vulnerabilități majore în aplicațiile de sănătate mintală
Raportul Oversecured, prezentat de platforma BleepingComputer, relevă 54 de vulnerabilități de severitate mare și 538 de vulnerabilități medii. În plus, au fost identificate 983 de probleme cu severitate redusă în aceste aplicații analizate. Chiar dacă nu a fost descoperită nicio breșă critică, numărul ridicat de vulnerabilități indică o igienă de securitate slabă.
Unele dintre aceste probleme pot permite atacatorilor interceptarea credențialelor, falsificarea notificărilor, injecții HTML sau localizarea utilizatorilor. Prin exploatarea acestor vulnerabilități, răufăcătorii cibernetici pot ajunge la date foarte sensibile.
Cazuri concrete de riscuri tehnice
O problemă semnificativă menționată în raport se referă la folosirea funcției Intent.parseUri() în cadrul unei aplicații de terapie cu peste un milion de descărcări. Aceasta procesează șiruri externe fără validare și poate permite atacatorilor să acceseze componente interne care gestionează tokenuri de autentificare sau sesiuni.
De asemenea, aplicațiile stochează local date sensibile într-un mod care poate fi accesat de alte aplicații de pe telefon. Astfel, notițele din terapii, scorurile de evaluare sau alte informații personale pot fi expuse, nu doar adrese de e-mail și parole, ci fragmente importante din viața emoțională a utilizatorilor.
Cercetările mai arată că fișierele de configurare conțin endpoint-uri de backend și URL-uri Firebase în clar, iar unele aplicații utilizează metoda java.util.Random pentru generarea de tokenuri, considerată nesigură din punct de vedere criptografic.
Valoarea datelor de sănătate mintală pentru infractori
Valorii acestor date le conferă un risc crescut în contextul pieței ilegale. Sergey Toshin, fondatorul Oversecured, afirmă că informațiile despre sănătate mintală sunt printre cele mai sensibile tipuri de date personale și pot ajunge pe piața neagră pentru peste 1.000 de dolari per profil.
Aceste date pot fi folosite pentru șantaj, phishing țintit, fraudă de identitate sau manipulare psihologică. În cazul în care un atacator obține accesul la istoricul emoțional, episoadele de depresie, anxietate sau tratamentele urmate, impactul asupra vieții personale poate fi semnificativ.
Raportul subliniază și faptul că unele aplicații colectează date care pot fi încadrate în categoria informațiilor medicale protejate de reglementări stricte, ridicând probleme de responsabilitate pentru dezvoltatori.
Actualizări și responsabilitate în piața aplicațiilor
Din analiza efectuată, doar patru dintre aplicații primiseră actualizări în luna publicării raportului, iar unele ultimele versiuni au fost lansate în septembrie 2024 sau chiar în 2025. Cercetătorii nu pot confirma dacă vulnerabilitățile au fost remediate între timp și au preferat să nu publice numele aplicațiilor afectate.
Prezența vulnerabilităților de severitate medie, chiar dacă aplicația nu prezintă breșe critice, semnalează un risc inerent, deoarece atacurile pot combina mai multe probleme mai mici pentru a compromite sistemele.
Recomandări pentru utilizatori
Pentru cei care folosesc aplicații de sănătate mentală, verificarea recentei actualizări a software-ului și a politicilor de securitate devine esențială. Este indicat să se evite introducerea de informații foarte sensibile, mai ales dacă aplicația nu oferă opțiuni robuste de protecție, precum autentificare în doi pași sau blocare biometrică.
Este recomandat să se acorde atenție tipului de date stocate și să se reducă expunerea informațiilor personale, mai ales în cazul chatboților sau jurnalelor de terapie digitală.
Raportul subliniază că, deși aplicațiile pot fi utile, siguranța datelor trebuie să fie prioritară, mai ales într-un domeniu în care confidențialitatea și protecția informațiilor intime sunt fundamentale. În mediul digital, deficiențele tehnice pot avea consecințe serioase pentru protecția vieții private.