Admin
Администратор
Популярные мобильные приложения для поддержки психического здоровья на Android оказались уязвимы для атак. Исследование показало, что программы с общей аудиторией более 14,7 миллиона установок могут раскрывать терапевтические записи, личные заметки и другие чувствительные данные пользователей.
Компания Oversecured изучила десять приложений из Google Play и обнаружила 1575 проблем безопасности, включая 54 уязвимости с высоким уровнем опасности. Среди проверенных программ были трекеры настроения, чат-боты с ИИ, сервисы для борьбы с тревожностью и депрессией, а также платформы онлайн-поддержки.
Многие из найденных уязвимостей позволяют перехватывать учётные данные, подменять уведомления, внедрять вредоносный HTML-код и определять местоположение пользователя. В одном из приложений с миллионом загрузок специалисты обнаружили более 85 уязвимостей средней и высокой степени. Программа обрабатывала внешние URI без должной проверки, что открывало доступ к токенам аутентификации и записям терапии. Некоторые приложения сохраняли данные локально так, что их могли читать другие программы на устройстве. Это касается заметок сессий терапии, оценок состояния и личных дневников. В APK-файлах обнаружили конфигурационные данные в открытом виде, включая адреса API и ссылки на базы данных Firebase. Некоторые сервисы использовали устаревшие методы генерации токенов и ключей шифрования, что не соответствует современным требованиям безопасности. Большинство проверенных программ не распознают устройства с root-доступом, где любое приложение с расширенными правами может читать локально сохранённые медицинские данные. Основатель Oversecured Сергей Тошин отметил, что данные о психическом здоровье представляют особую ценность на теневых площадках и могут стоить дороже банковских реквизитов. Проверка прошла 22 и 23 января, охватив последние доступные версии приложений. Названия программ не раскрываются, так как разработчики ещё устраняют выявленные проблемы.