Несколько мобильных приложений для поддержания психического здоровья, загруженных миллионы раз из Google Play, содержат уязвимости безопасности, которые могут привести к утечке конфиденциальной медицинской информации пользователей.
В одном из приложений исследователи безопасности обнаружили более 85 уязвимостей средней и высокой степени критичности, которые могут быть использованы для компрометации терапевтических данных и конфиденциальности пользователей.
Некоторые из этих продуктов представляют собой ИИ-компаньонов, предназначенных для помощи людям, страдающим клинической депрессией, различными формами тревожности, паническими атаками, стрессом и биполярным расстройством.
По крайней мере шесть из десяти проанализированных приложений заявляют, что разговоры или чаты пользователей остаются конфиденциальными или надежно зашифрованы на серверах поставщика.
«Данные о психическом здоровье несут уникальные риски. В даркнете записи о терапии продаются по 1000 долларов и более за запись, что намного дороже номеров кредитных карт», — говорит Сергей Тошин, основатель компании по мобильной безопасности Oversecured.
Обнаружено более 1500 проблем безопасности
Oversecured просканировала десять мобильных приложений, рекламируемых как инструменты для помощи при различных проблемах с психическим здоровьем, и выявила в общей сложности 1575 уязвимостей безопасности (54 высокой степени критичности, 538 средней и 983 низкой).
| Тип приложения | Установок | Высокие | Средние | Низкие | Всего | Дата сканирования | |
| 01 | Трекер настроения и привычек | 10M+ | 1 | 147 | 189 | 337 | 01/23/2026 |
| 02 | ИИ-чат-бот для терапии | 1M+ | 23 | 63 | 169 | 255 | 01/22/2026 |
| 03 | ИИ-платформа для эмоционального здоровья | 1M+ | 13 | 124 | 78 | 215 | 01/23/2026 |
| 04 | Трекер здоровья и симптомов | 500k+ | 7 | 31 | 173 | 211 | 01/22/2026 |
| 05 | Инструмент управления депрессией | 100k+ | – | 66 | 91 | 157 | 01/23/2026 |
| 06 | Приложение для тревожности на основе КПТ | 500k+ | 3 | 45 | 62 | 110 | 01/22/2026 |
| 07 | Онлайн-терапия и сообщество поддержки | 1M+ | 7 | 20 | 71 | 98 | 01/23/2026 |
| 08 | Самопомощь при тревожности и фобиях | 50k+ | – | 15 | 54 | 69 | 01/22/2026 |
| 09 | Управление стрессом для военных | 50k+ | – | 12 | 50 | 62 | 01/22/2026 |
| 10 | ИИ-чат-бот КПТ | 500k+ | – | 15 | 46 | 61 | 01/23/2026 |
Хотя ни одна из обнаруженных проблем не является критической, многие могут быть использованы для перехвата учетных данных для входа, подмены уведомлений, внедрения HTML или определения местоположения пользователя.
Исследователи использовали сканер Oversecured для проверки APK-файлов десяти приложений для психического здоровья на наличие известных шаблонов уязвимостей в десятках категорий.
В отчете, предоставленном BleepingComputer, исследователи заявляют, что некоторые из проверенных приложений «обрабатывают предоставленные пользователем URI без адекватной проверки».
Одно терапевтическое приложение с более чем миллионом загрузок использует Intent.parseUri() для строки, контролируемой извне, и запускает полученный объект сообщения (intent) без проверки целевого компонента.
Это позволяет злоумышленнику заставить приложение открыть любую внутреннюю активность, даже если она не предназначена для внешнего доступа.
«Поскольку эти внутренние активности часто обрабатывают токены аутентификации и данные сеанса, эксплуатация может дать злоумышленнику доступ к записям о терапии пользователя», — поясняет Oversecured.
Другая проблема заключается в локальном хранении данных таким образом, что любой приложению на устройстве предоставляется доступ на чтение. В зависимости от сохраненной информации это может раскрыть терапевтические данные, такие как записи о сеансах, заметки о когнитивно-поведенческой терапии (КПТ) и различные оценки.
Oversecured заявляет, что они также обнаружили в ресурсах APK конфигурационные данные в открытом виде, включая конечные точки бэкенд API и жестко закодированный URL-адрес базы данных Firebase.
Кроме того, некоторые из уязвимых приложений используют криптографически небезопасный класс java.util.Random для генерации токенов сеанса или ключей шифрования.
По данным исследователей, «большинство из 10 приложений не имеют никакой формы обнаружения рута (root detection)». На рутированном (взломанном) устройстве любое приложение с правами root имеет доступ ко всем локально хранящимся данным о здоровье.
Oversecured сообщает, что шесть из десяти проанализированных приложений «не имели критических уязвимостей, но все же несли проблемы средней степени критичности, ослабляющие их общую безопасность».
«Эти приложения собирают и хранят одни из самых конфиденциальных личных данных на мобильных устройствах: стенограммы терапевтических сеансов, журналы настроения, графики приема лекарств, индикаторы самоповреждения и, в некоторых случаях, информацию, защищенную HIPAA», — отмечают исследователи.
По наблюдениям BleepingComputer, общее количество загрузок просканированных Oversecured приложений превышает 14,7 миллиона, и только четыре получили обновление в этом месяце. Для остальных дата последнего обновления была не позднее ноября 2025 или даже сентября 2024 года.
Сканирование Oversecured проводилось 22 и 23 января и было нацелено на последние доступные на тот момент версии приложений. Исследователи не могут подтвердить, были ли устранены какие-либо из обнаруженных уязвимостей.
BleepingComputer воздержался от публикации названий затронутых приложений, поскольку Oversecured все еще раскрывает информацию об уязвимостях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ionut Ilascu
