Ново изследване на мобилни приложения за психично здраве разкри системни пропуски в сигурността, които могат да изложат на риск едни от най-чувствителните лични данни – терапевтични разговори, бележки от когнитивно-поведенческа терапия (CBT), данни за настроение, медикаментозни схеми и индикатори за самонараняване.

Анализът е извършен от компанията Oversecured, която е сканирала APK файловете на 10 популярни Android приложения за психично здраве, с общ брой изтегляния над 14,7 милиона.

Какви уязвимости са открити

Макар нито една от уязвимостите да не е класифицирана като критична, експертите предупреждават, че много от тях могат да бъдат комбинирани за сериозни атаки, включително прихващане на потребителски идентификационни данни, HTML инжекции, подправяне на нотификации и дори проследяване на местоположението на потребителя.

Сред най-проблемните находки са:

• Небезопасна обработка на Intent-и, при която приложенията използват Intent.parseUri() върху външно контролируеми входни данни без валидиране

• Възможност атакуващ да принуди приложението да отвори вътрешни Activity компоненти, които не са предназначени за външен достъп

• Локално съхранение на данни с широки права за четене, достъпни за други приложения на устройството

В един конкретен случай приложение с над 1 милион изтегляния позволява достъп до вътрешни компоненти, обработващи токени за автентикация и сесийни данни, което потенциално отваря път към пълните терапевтични досиета на потребителите.

Слаба криптография и липса на защити

Изследователите установяват и използване на криптографски несигурния клас java.util.Random за генериране на сесийни токени или ключове за криптиране – практика, която от години се счита за недопустима в приложения, обработващи чувствителни данни.

Допълнително, в някои APK файлове са открити конфигурационни данни в чист текст, включително backend API адреси и твърдо кодирани URL адреси към Firebase бази данни.

Особено тревожен е фактът, че повечето от приложенията не прилагат никаква форма на root detection. Това означава, че при руутнато (jailbreak-нато) устройство всяко приложение с повишени права може да има достъп до локално съхраняваните здравни данни.

Данни, защитени по закон, но слабо защитени на практика

Според Oversecured, шест от десетте приложения нямат уязвимости с висока тежест, но всички те страдат от средни по тежест проблеми, които в съвкупност значително отслабват защитната им позиция.

Изследователите подчертават, че тези приложения обработват информация, която в много юрисдикции попада под регулации като HIPAA, а въпреки това не отговарят на базови изисквания за сигурност.

Ограничена прозрачност и бавни обновления

Сканиранията са проведени между 22 и 23 януари 2026 г. върху най-актуалните версии към онзи момент, но само четири от приложенията са получавали обновление през януари. При останалите последните ъпдейти датират от ноември 2025 г. или дори септември 2024 г.

Имената на засегнатите приложения не се оповестяват публично, тъй като процесът по отговорно разкриване на уязвимостите все още тече.