Все ваши страхи — достояние общественности. Приложения для ментального здоровья сливают секреты хакерам
NewsMakerЭра чат-ботов окончательно обнулила понятие врачебной тайны.
Популярные мобильные сервисы для поддержки психического здоровья на Android оказались уязвимы для атак. Проверка показала, что приложения с общей аудиторией более 14,7 миллиона установок могут раскрывать терапевтические записи, личные заметки и другие чувствительные данные пользователей.
Компания Oversecured изучила десять программ, размещённых в Google Play, и выявила 1575 проблем безопасности. Среди них 54 уязвимости с высоким рейтингом опасности, 538 со средним и 983 с низким. Речь идёт о трекерах настроения и привычек, чат-ботах с элементами ИИ для терапии, сервисах для борьбы с тревожностью и депрессией, а также платформах онлайн-поддержки. Часть этих продуктов позиционируется как инструменты помощи при клинической депрессии, панических атаках и биполярном расстройстве.
Хотя критических ошибок не обнаружили, многие найденные дефекты позволяют перехватывать учётные данные , подменять уведомления, внедрять вредоносный HTML-код и определять местоположение пользователя. В одном из приложений с более чем миллионом загрузок специалисты нашли свыше 85 уязвимостей средней и высокой степени. Программа обрабатывала внешние URI без должной проверки и запускала внутренние компоненты, что открывало доступ к служебным разделам, где хранятся токены аутентификации и сведения о сессиях. В случае успешной атаки злоумышленник мог получить доступ к записям терапии.
В ряде случаев приложения сохраняли данные локально так, что их могли читать другие программы на устройстве. Это касается заметок сессий когнитивно-поведенческой терапии, оценок состояния и личных дневников. В APK-файлах обнаружили конфигурационные данные в открытом виде, включая адреса API и жёстко прописанную ссылку на базу данных Firebase .
Популярные мобильные сервисы для поддержки психического здоровья на Android оказались уязвимы для атак. Проверка показала, что приложения с общей аудиторией более 14,7 миллиона установок могут раскрывать терапевтические записи, личные заметки и другие чувствительные данные пользователей.
Компания Oversecured изучила десять программ, размещённых в Google Play, и выявила 1575 проблем безопасности. Среди них 54 уязвимости с высоким рейтингом опасности, 538 со средним и 983 с низким. Речь идёт о трекерах настроения и привычек, чат-ботах с элементами ИИ для терапии, сервисах для борьбы с тревожностью и депрессией, а также платформах онлайн-поддержки. Часть этих продуктов позиционируется как инструменты помощи при клинической депрессии, панических атаках и биполярном расстройстве.
Хотя критических ошибок не обнаружили, многие найденные дефекты позволяют перехватывать учётные данные , подменять уведомления, внедрять вредоносный HTML-код и определять местоположение пользователя. В одном из приложений с более чем миллионом загрузок специалисты нашли свыше 85 уязвимостей средней и высокой степени. Программа обрабатывала внешние URI без должной проверки и запускала внутренние компоненты, что открывало доступ к служебным разделам, где хранятся токены аутентификации и сведения о сессиях. В случае успешной атаки злоумышленник мог получить доступ к записям терапии.
В ряде случаев приложения сохраняли данные локально так, что их могли читать другие программы на устройстве. Это касается заметок сессий когнитивно-поведенческой терапии, оценок состояния и личных дневников. В APK-файлах обнаружили конфигурационные данные в открытом виде, включая адреса API и жёстко прописанную ссылку на базу данных Firebase .