Các chuyên gia cảnh báo rằng một số ứng dụng sức khỏe tâm thần thực chất đang làm tăng thêm áp lực bằng cách để lộ thông tin y tế nhạy cảm của người dùng.
Các nhà nghiên cứu bảo mật của Oversecured gần đây đã phân tích 10 ứng dụng di động về sức khỏe tâm thần trong hệ sinh thái Android, với tổng số lượt tải xuống hơn 14 triệu lần, và phát hiện chúng chứa hơn 1.500 lỗ hổng bảo mật, trong đó 54 lỗ hổng được đánh giá là nghiêm trọng.
“Những ứng dụng này thu thập và lưu trữ một số dữ liệu cá nhân nhạy cảm nhất trên thiết bị di động: bản ghi các buổi trị liệu, nhật ký tâm trạng, lịch trình dùng thuốc, chỉ số tự gây hại và trong một số trường hợp, thông tin được bảo vệ theo HIPAA,” các nhà nghiên cứu cho biết trong một báo cáo mới.
Rủi ro độc đáo
Các lỗ hổng này có thể bị lợi dụng theo nhiều cách khác nhau, nhưng chủ yếu là để làm lộ dữ liệu nhạy cảm của người dùng, chẳng hạn như chi tiết liệu trình trị liệu, ghi chú buổi trị liệu nhận thức hành vi (CBT) và các điểm số khác nhau.
Các lỗ hổng này cũng có thể được sử dụng để chặn thông tin đăng nhập , giả mạo thông báo, chèn mã HTML độc hại hoặc thậm chí định vị người dùng.
Oversecured cho biết trong một số trường hợp, họ đã phát hiện dữ liệu cấu hình ở dạng văn bản thuần, bao gồm cả các điểm cuối API phụ trợ và các URL cơ sở dữ liệu Firebase được mã hóa cứng. Một số ứng dụng sử dụng lớp java.util.Random không an toàn về mặt mật mã để tạo mã thông báo phiên và khóa mã hóa.
Theo Sergey Toshin, người sáng lập Oversecured, dữ liệu sức khỏe tâm thần tiềm ẩn “những rủi ro đặc biệt”, điều mà tội phạm mạng dường như đặc biệt nhận thức được, lưu ý rằng hồ sơ trị liệu được bán với giá 1.000 đô la trở lên mỗi hồ sơ, “cao hơn nhiều so với số thẻ tín dụng”.
Một điều có thể cho thấy những ứng dụng này tiềm ẩn rủi ro là tần suất cập nhật của chúng, vì chỉ có bốn ứng dụng được cập nhật gần đây nhất là trong tháng này, trong khi phần còn lại đã không được cập nhật trong nhiều tháng, thậm chí nhiều năm.
Để đảm bảo an toàn, việc chỉ chọn những ứng dụng phổ biến với nhiều lượt tải xuống và đánh giá tích cực là chưa đủ. Người dùng nên lựa chọn những ứng dụng được hỗ trợ tích cực và nhận được các bản cập nhật thường xuyên.
