Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Все ваши страхи — достояние общественности. Приложения для ментального здоровья сливают секреты хакерам

leer en español

Oversecured Сергей Тошин Google Play Android мобильные приложения психическое здоровье уязвимости
Все ваши страхи — достояние общественности. Приложения для ментального здоровья сливают секреты хакерам
Oversecured Сергей Тошин Google Play Android мобильные приложения психическое здоровье уязвимости

Эра чат-ботов окончательно обнулила понятие врачебной тайны.

image

Популярные мобильные сервисы для поддержки психического здоровья на Android оказались уязвимы для атак. Проверка показала, что приложения с общей аудиторией более 14,7 миллиона установок могут раскрывать терапевтические записи, личные заметки и другие чувствительные данные пользователей.

Компания Oversecured изучила десять программ, размещённых в Google Play, и выявила 1575 проблем безопасности. Среди них 54 уязвимости с высоким рейтингом опасности, 538 со средним и 983 с низким. Речь идёт о трекерах настроения и привычек, чат-ботах с элементами ИИ для терапии, сервисах для борьбы с тревожностью и депрессией, а также платформах онлайн-поддержки. Часть этих продуктов позиционируется как инструменты помощи при клинической депрессии, панических атаках и биполярном расстройстве.

Хотя критических ошибок не обнаружили, многие найденные дефекты позволяют перехватывать учётные данные, подменять уведомления, внедрять вредоносный HTML-код и определять местоположение пользователя. В одном из приложений с более чем миллионом загрузок специалисты нашли свыше 85 уязвимостей средней и высокой степени. Программа обрабатывала внешние URI без должной проверки и запускала внутренние компоненты, что открывало доступ к служебным разделам, где хранятся токены аутентификации и сведения о сессиях. В случае успешной атаки злоумышленник мог получить доступ к записям терапии.

В ряде случаев приложения сохраняли данные локально так, что их могли читать другие программы на устройстве. Это касается заметок сессий когнитивно-поведенческой терапии, оценок состояния и личных дневников. В APK-файлах обнаружили конфигурационные данные в открытом виде, включая адреса API и жёстко прописанную ссылку на базу данных Firebase.

Некоторые сервисы использовали класс java.util.Random для генерации сессионных токенов и ключей шифрования, что не отвечает современным требованиям криптостойкости. Кроме того, большинство проверенных программ не распознают устройства с root-доступом, где любое приложение с расширенными правами способно читать локально сохранённые медицинские сведения.

По словам основателя Oversecured Сергея Тошина, данные о психическом здоровье представляют особую ценность на теневых площадках и могут стоить значительно дороже банковских реквизитов. При этом шесть из десяти сервисов заявляют о конфиденциальности переписки или её шифровании на серверах поставщика.

Проверка прошла 22 и 23 января и охватила последние доступные версии приложений. Только четыре из них обновлялись в феврале, остальные получали обновления в ноябре 2025 года или даже в сентябре 2024 года. Названия программ не раскрываются, поскольку разработчики ещё устраняют выявленные проблемы.