Keliose psichikos sveikatos programose mobiliesiems, kurias galima atsisiųsti iš daugybės „Google Play“, yra saugos spragų, kurios gali atskleisti neskelbtiną naudotojų medicininę informaciją.
Vienoje iš programėlių saugumo tyrėjai aptiko daugiau nei 85 vidutinio ir didelio sunkumo pažeidžiamumus, kuriuos galima panaudoti siekiant pakenkti vartotojų terapijos duomenims ir privatumui.
Kai kurie produktai yra dirbtinio intelekto kompanionai, skirti padėti žmonėms, kenčiantiems nuo klinikinės depresijos, įvairių formų nerimo, panikos priepuolių, streso ir bipolinio sutrikimo.
Bent šešios iš dešimties analizuotų programų teigia, kad vartotojų pokalbiai ar pokalbiai išlieka privatūs arba yra saugiai užšifruoti tiekėjo serveriuose.
„Psichikos sveikatos duomenys kelia unikalią riziką. Tamsiajame žiniatinklyje terapijos įrašai parduodami už 1000 USD ar daugiau už vieną įrašą, daug daugiau nei kredito kortelių numeriai”, – sako Sergejus Tošinas, mobiliojo ryšio saugos bendrovės „Oversecured” įkūrėjas.
Rasta daugiau nei 1500 saugos problemų
Per daug apsaugota nuskenavo dešimt mobiliųjų programėlių, reklamuojamų kaip įrankiai, galintys padėti sprendžiant įvairias psichikos sveikatos problemas, ir iš viso atskleidė 1575 saugumo spragas (54 įvertintos didelio, 538 vidutinio sunkumo ir 983 mažo sunkumo).
| Programos tipas | Įdiegimai | Aukštas | Vidutinis | Žemas | Iš viso | Nuskaitymo data | |
| 01 | Nuotaikos ir įpročių stebėjimo priemonė | 10 mln.+ | 1 | 147 | 189 | 337 | 2026-01-23 |
| 02 | AI terapijos pokalbių robotas | 1M+ | 23 | 63 | 169 | 255 | 2026-01-22 |
| 03 | AI emocinės sveikatos platforma | 1M+ | 13 | 124 | 78 | 215 | 2026-01-23 |
| 04 | Sveikatos ir simptomų stebėjimo priemonė | 500 tūkst | 7 | 31 | 173 | 211 | 2026-01-22 |
| 05 | Depresijos valdymo įrankis | 100k+ | – | 66 | 91 | 157 | 2026-01-23 |
| 06 | CBT pagrįsta nerimo programa | 500 tūkst | 3 | 45 | 62 | 110 | 2026-01-22 |
| 07 | Internetinė terapijos ir paramos bendruomenė | 1M+ | 7 | 20 | 71 | 98 | 2026-01-23 |
| 08 | Nerimo ir fobijos savipagalba | 50 tūkst | – | 15 | 54 | 69 | 2026-01-22 |
| 09 | Karinis streso valdymas | 50 tūkst | – | 12 | 50 | 62 | 2026-01-22 |
| 10 | AI CBT pokalbių robotas | 500 tūkst | – | 15 | 46 | 61 | 2026-01-23 |
Nors nė viena iš aptiktų problemų nėra kritinė, daugelis jų gali būti panaudoti norint perimti prisijungimo duomenis, suklastotus pranešimus, įterpti HTML arba nustatyti naudotojo vietą.
Tyrėjai naudojo „Oversecured“ skaitytuvą, kad patikrintų dešimties psichikos sveikatos programų APK failus, ar nėra žinomų pažeidžiamumo modelių dešimtyse kategorijų.
Ataskaitoje, kuri buvo pasidalinta su „BleepingComputer“, mokslininkai teigia, kad kai kurios patikrintos programos „analizuoja vartotojo pateiktus URI be tinkamo patvirtinimo“.
Naudojama viena terapinė programa, kurią atsiųsta daugiau nei vienas milijonas Intent.parseUri() išoriškai valdomoje eilutėje ir paleidžia gautą pranešimų objektą (intent) nepatvirtindamas tikslinio komponento.
Tai leidžia užpuolikui priversti programą atidaryti bet kokią vidinę veiklą, net jei ji nėra skirta išorinei prieigai.
„Kadangi ši vidinė veikla dažnai tvarko autentifikavimo prieigos raktus ir seanso duomenis, išnaudojimas gali suteikti užpuolikui prieigą prie vartotojo terapijos įrašų“, – aiškina „Oversecured“.
Kita problema yra duomenų saugojimas vietoje taip, kad suteiktų skaitymo prieigą prie bet kurios įrenginio programos. Atsižvelgiant į išsaugotą informaciją, gali būti atskleista terapijos informacija, pvz., terapijos įrašai, kognityvinės elgesio terapijos (CBT) seanso užrašai ir įvairūs balai.
Oversecured teigia, kad APK šaltiniuose jie taip pat aptiko paprasto teksto konfigūracijos duomenis, įskaitant galinius API galinius taškus ir užkoduotą Firebase duomenų bazės URL.
Be to, kai kurios pažeidžiamos programos naudoja kriptografiškai nesaugias programas java.util.Atsitiktinis klasė seanso žetonams arba šifravimo raktams generuoti.
Pasak mokslininkų, „dauguma iš 10 programų neturi jokios šaknies aptikimo formos“. Įsišaknijusiame (pažeistame) įrenginyje bet kuri programa, turinti root teises, turi prieigą prie visų sveikatos duomenų, saugomų vietoje.
„Oversecured“ teigia, kad šešios iš dešimties analizuotų programų „nebuvo jokių labai pavojingų pažeidimų, tačiau vis tiek turėjo vidutinio sunkumo problemų, kurios susilpnino jų bendrą saugumo padėtį“.
„Šios programos renka ir saugo kai kuriuos jautriausius asmeninius duomenis mobiliajame telefone: terapijos seansų nuorašus, nuotaikos žurnalus, vaistų tvarkaraščius, savęs žalojimo rodiklius ir kai kuriais atvejais informaciją, saugomą pagal HIPAA“, – pažymi mokslininkai.
Remiantis „BleepingComputer“ pastebėjimais, bendras „Oversecured“ nuskaitytų programų atsisiuntimų skaičius yra daugiau nei 14,7 mln., ir tik keturios buvo atnaujintos dar šį mėnesį. Likusioje dalyje naujausio atnaujinimo data buvo 2025 m. lapkričio mėn. ar net 2024 m. rugsėjo mėn.
Oversecured nuskaitymai buvo atlikti sausio 22–23 d. ir buvo taikomi naujausioms tuo metu prieinamoms programos versijoms. Tyrėjai negali patvirtinti, ar buvo pašalintas kuris nors iš atskleistų pažeidžiamumų.
„BleepingComputer“ susilaikė nuo paveiktų programų pavadinimų, nes „Oversecured“ vis dar atskleidžia pažeidžiamumą.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
