Приложения для поддержания психического здоровья на Android с 14,7 млн установок, изобилующие уязвимостями
В нескольких мобильных приложениях для поддержания психического здоровья, которые скачали миллионы пользователей в Google Play, есть уязвимости в системе безопасности, которые могут привести к раскрытию конфиденциальной медицинской информации пользователей.
В одном из приложений исследователи в области кибербезопасности обнаружили более 85 уязвимостей средней и высокой степени опасности, которые могут быть использованы для компрометации терапевтических данных и конфиденциальной информации пользователей.
Некоторые из этих продуктов — это чат-боты с искусственным интеллектом, призванные помогать людям, страдающим клинической депрессией, различными формами тревожности, паническими атаками, стрессом и биполярным расстройством.
По крайней мере в шести из десяти проанализированных приложений указано, что переписка и чаты пользователей остаются конфиденциальными или надежно шифруются на серверах поставщика.
«Данные о психическом здоровье сопряжены с уникальными рисками. В даркнете записи о психотерапии продаются по цене от 1000 долларов за штуку, что намного дороже, чем номера кредитных карт», — говорит Сергей Тошин, основатель компании Oversecured, специализирующейся на мобильной безопасности.
Обнаружено более 1500 уязвимостей
Oversecured проверила десять мобильных приложений, которые позиционируются как инструменты для решения различных проблем с психическим здоровьем, и обнаружила в общей сложности 1575 уязвимостей (54 с высокой степенью опасности, 538 со средней и 983 с низкой).
| Тип приложения | Устанавливает | Высокий | Средний | Низкий | Итого | Дата сканирования | |
| 01 | Трекер настроения и привычек | 10 М+ | 1 | 147 | 189 | 337 | 01/23/2026 |
| 02 | Чат-бот для терапии искусственным интеллектом | 1 М+ | 23 | 63 | 169 | 255 | 01/22/2026 |
| 03 | Платформа эмоционального здоровья с искусственным интеллектом | 1 М+ | 13 | 124 | 78 | 215 | 01/23/2026 |
| 04 | Трекер состояния здоровья и симптомов | Более 500 тысяч | 7 | 31 | 173 | 211 | 01/22/2026 |
| 05 | Инструмент управления депрессией | Более 100 тысяч | — | 66 | 91 | 157 | 01/23/2026 |
| 06 | Приложение для борьбы с тревожностью на основе когнитивно-поведенческой терапии | Более 500 тысяч | 3 | 45 | 62 | 110 | 01/22/2026 |
| 07 | Онлайн-терапия и сообщество поддержки | 1 М+ | 7 | 20 | 71 | 98 | 01/23/2026 |
| 08 | Как справиться с тревожностью и фобиями | 50 тысяч+ | — | 15 | 54 | 69 | 01/22/2026 |
| 09 | Управление военным стрессом | 50 тысяч+ | — | 12 | 50 | 62 | 01/22/2026 |
| 10 | Чат-бот с искусственным интеллектом CBT | Более 500 тысяч | — | 15 | 46 | 61 | 01/23/2026 |
Хотя ни одна из обнаруженных уязвимостей не является критической, многие из них можно использовать для перехвата учетных данных, подмены уведомлений, внедрения HTML-кода или определения местоположения пользователя.
Исследователи использовали сканер Oversecured для проверки APK-файлов десяти приложений для психического здоровья на наличие известных уязвимостей в десятках категорий.
В отчете, предоставленном BleepingComputer, исследователи сообщают, что некоторые из проверенных приложений «обрабатывают предоставленные пользователем URI без надлежащей проверки».
Одно из терапевтических приложений, которое скачали более миллиона раз, использует Intent.parseUri() для строки, управляемой извне, и запускает полученный объект обмена сообщениями (интент) без проверки целевого компонента.
Это позволяет злоумышленнику заставить приложение открыть любое внутреннее действие, даже если оно не предназначено для внешнего доступа.
«Поскольку эти внутренние действия часто связаны с токенами аутентификации и данными сеанса, их использование может дать злоумышленнику доступ к медицинским данным пользователя», — объясняет Oversecured.
Другая проблема заключается в локальном хранении данных таким образом, что любое приложение на устройстве может получить к ним доступ для чтения. В зависимости от сохраненной информации это может привести к раскрытию подробностей терапии, таких как записи о сеансах когнитивно-поведенческой терапии (КПТ) и различные оценки.
В Oversecured также обнаружили незашифрованные данные конфигурации, в том числе конечные точки внутреннего API и жестко заданный URL-адрес базы данных Firebase в ресурсах APK.
Кроме того, некоторые уязвимые приложения используют криптографически небезопасный класс java.util.Random для генерации токенов сеанса или ключей шифрования.
По словам исследователей, «в большинстве из 10 приложений отсутствует какая-либо форма обнаружения рут-доступа». На устройстве с рут-правами (взломанном) любое приложение с правами суперпользователя имеет доступ ко всем данным о здоровье, хранящимся локально.
По данным Oversecured, в шести из десяти проанализированных приложений «не было выявлено проблем высокой степени серьезности, но все же были обнаружены проблемы средней степени серьезности, которые снижают общий уровень безопасности».
«Эти приложения собирают и хранят на мобильных устройствах самые конфиденциальные персональные данные: расшифровки сеансов терапии, записи о настроении, графики приема лекарств, данные о самоповреждении, а в некоторых случаях — информацию, защищенную законом HIPAA», — отмечают исследователи.
По данным BleepingComputer, общее количество загрузок приложений, проверенных Oversecured, составляет более 14,7 миллиона, и только четыре из них получили обновление в этом месяце. Остальные получили последнее обновление в ноябре 2025 года или даже в сентябре 2024 года.
Сканирование Oversecured проводилось с 22 по 23 января и было нацелено на последние версии приложений, доступные на тот момент. Исследователи не могут подтвердить, были ли устранены обнаруженные уязвимости.
Не стали раскрывать названия уязвимых приложений, поскольку информация об уязвимостях все еще находится в распоряжении Oversecured.
Редактор: AndreyEx
