Αρκετές εφαρμογές ψυχικής υγείας για κινητά με εκατομμύρια λήψεις στο Google Play περιέχουν ευπάθειες ασφαλείας που θα μπορούσαν να εκθέσουν ευαίσθητες ιατρικές πληροφορίες των χρηστών
Μάλιστα, σε μία από τις εφαρμογές, οι ερευνητές ασφαλείας ανακάλυψαν περισσότερες από 85 ευπάθειες μεσαίας και υψηλής σοβαρότητας που θα μπορούσαν να αξιοποιηθούν για να θέσουν σε κίνδυνο τα δεδομένα θεραπείας και το απόρρητο των χρηστών.
Μερικά από τα προϊόντα είναι σύντροφοι τεχνητής νοημοσύνης που έχουν σχεδιαστεί για να βοηθούν άτομα που πάσχουν από κλινική κατάθλιψη, πολλαπλές μορφές άγχους, κρίσεις πανικού, στρες και διπολική διαταραχή.
Τουλάχιστον έξι από τις δέκα εφαρμογές που αναλύθηκαν δηλώνουν ότι οι συνομιλίες ή οι συνομιλίες των χρηστών παραμένουν ιδιωτικές ή κρυπτογραφούνται με ασφάλεια στους διακομιστές του προμηθευτή.
Βρέθηκαν πάνω από 1.500 ζητήματα ασφαλείας
Το Oversecured σάρωσε δέκα εφαρμογές για κινητά που διαφημίζονται ως εργαλεία που μπορούν να βοηθήσουν σε διάφορα προβλήματα ψυχικής υγείας και αποκάλυψε συνολικά 1.575 ευπάθειες ασφαλείας (54 με βαθμολογία υψηλής σοβαρότητας, 538 μέτριας σοβαρότητας και 983 χαμηλής σοβαρότητας).
| App Type | Installs | High | Medium | Low | Total | Scan date | |
| 01 | Mood & habit tracker | 10M+ | 1 | 147 | 189 | 337 | 01/23/2026 |
| 02 | AI therapy chatbot | 1M+ | 23 | 63 | 169 | 255 | 01/22/2026 |
| 03 | AI emotional health platform | 1M+ | 13 | 124 | 78 | 215 | 01/23/2026 |
| 04 | Health & symptom tracker | 500k+ | 7 | 31 | 173 | 211 | 01/22/2026 |
| 05 | Depression management tool | 100k+ | – | 66 | 91 | 157 | 01/23/2026 |
| 06 | CBT-based anxiety app | 500k+ | 3 | 45 | 62 | 110 | 01/22/2026 |
| 07 | Online therapy & support community | 1M+ | 7 | 20 | 71 | 98 | 01/23/2026 |
| 08 | Anxiety & phobia self-help | 50k+ | – | 15 | 54 | 69 | 01/22/2026 |
| 09 | Military stress management | 50k+ | – | 12 | 50 | 62 | 01/22/2026 |
| 10 | AI CBT chatbot | 500k+ | – | 15 | 46 | 61 | 01/23/2026 |
Αν και κανένα από τα ζητήματα που ανακαλύφθηκαν δεν είναι κρίσιμο, πολλά μπορούν να αξιοποιηθούν για την υποκλοπή διαπιστευτηρίων σύνδεσης, πλαστών ειδοποιήσεων, HTML injection ή για τον εντοπισμό του χρήστη.
Οι ερευνητές χρησιμοποίησαν τον σαρωτή Oversecured για να ελέγξουν τα αρχεία APK των δέκα εφαρμογών ψυχικής υγείας για γνωστά μοτίβα ευπάθειας σε δεκάδες κατηγορίες.
Σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer, οι ερευνητές λένε ότι ορισμένες από τις επαληθευμένες εφαρμογές «αναλύουν URI που παρέχονται από τον χρήστη χωρίς επαρκή επικύρωση».
Μία εφαρμογή θεραπείας με περισσότερες από ένα εκατομμύριο λήψεις χρησιμοποιεί το Intent.parseUri() σε μια εξωτερικά ελεγχόμενη συμβολοσειρά και εκκινεί το αντικείμενο ανταλλαγής μηνυμάτων που προκύπτει (πρόθεση) χωρίς να επικυρώσει το στοιχείο προορισμού.
Αυτό επιτρέπει σε έναν εισβολέα να αναγκάσει την εφαρμογή να ανοίξει οποιαδήποτε εσωτερική δραστηριότητα, ακόμα κι αν δεν προορίζεται για εξωτερική πρόσβαση.
Ένα άλλο ζήτημα είναι η αποθήκευση δεδομένων τοπικά με τρόπο που παρέχει πρόσβαση ανάγνωσης σε οποιαδήποτε εφαρμογή στη συσκευή. Ανάλογα με τις αποθηκευμένες πληροφορίες, αυτό θα μπορούσε να εκθέσει λεπτομέρειες θεραπείας, όπως καταχωρήσεις θεραπείας, σημειώσεις συνεδρίας Γνωσιακής Συμπεριφορικής Θεραπείας (CBT) και διάφορες βαθμολογίες.
Η Oversecured δηλώνει ότι ανακάλυψαν επίσης δεδομένα διαμόρφωσης απλού κειμένου, συμπεριλαμβανομένων των τελικών σημείων API υποστήριξης και μιας διεύθυνσης URL βάσης δεδομένων Firebase με ενσωματωμένο κώδικα, εντός των πόρων της εφαρμογής (APK).
Επιπλέον, ορισμένες από τις ευάλωτες εφαρμογές χρησιμοποιούν την κρυπτογραφικά με μη ασφαλή κλάση java.util.Random για τη δημιουργία διακριτικών περιόδου λειτουργίας ή κλειδιών κρυπτογράφησης.
Σύμφωνα με τους ερευνητές, οι περισσότερες από τις 10 εφαρμογές στερούνται οποιασδήποτε μορφής ανίχνευσης root. Σε μια συσκευή με root (jailbroken), οποιαδήποτε εφαρμογή με δικαιώματα root έχει πρόσβαση σε όλα τα δεδομένα υγείας που είναι αποθηκευμένα τοπικά.
Η Oversecured λέει ότι έξι από τις δέκα εφαρμογές που αναλύθηκαν «είχαν μηδενικά ευρήματα υψηλής σοβαρότητας, αλλά εξακολουθούσαν να φέρουν ζητήματα μέσης σοβαρότητας που αποδυναμώνουν τη συνολική στάση ασφαλείας τους».
Από τις παρατηρήσεις του BleepingComputer, ο συλλογικός αριθμός λήψεων για τις εφαρμογές που σαρώθηκαν από το Oversecured είναι πάνω από 14.7 εκατομμύρια και μόνο τέσσερις έλαβαν ενημέρωση μόλις αυτόν τον μήνα. Κατά τα λοιπά, η ημερομηνία της τελευταίας ενημέρωσης ήταν τόσο πρόσφατη όσο ο Νοέμβριος του 2025 ή ακόμα και ο Σεπτέμβριος του 2024.
Οι σαρώσεις του Oversecured πραγματοποιήθηκαν μεταξύ 22 και 23 Ιανουαρίου και στόχευαν τις πιο πρόσφατες εκδόσεις εφαρμογών που ήταν διαθέσιμες εκείνη την εποχή. Οι ερευνητές δεν μπορούν να επιβεβαιώσουν εάν κάποια από τις ακάλυπτες ευπάθειες έχει αντιμετωπιστεί.
Το BleepingComputer απέφυγε να κοινοποιήσει τα ονόματα των επηρεαζόμενων εφαρμογών, καθώς τα τρωτά σημεία εξακολουθούν να αποκαλύπτονται από το Oversecured.
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://xiaomi-miui.gr/feed
