Aplicațiile dedicate sănătății mentale, promițând confidențialitate și siguranță, se află acum în centrul unui scandal care scoate la iveală vulnerabilități majore. În contextul în care milioane de oameni se bazează pe aceste tool-uri pentru gestionarea emoțiilor, anxietății sau depresiei, descoperirile recente arată că, în spatele promisiunilor de intimitate, se ascund riscuri alarmante. Un raport realizat de cercetătorii de la Oversecured evidențiază un tablou îngrijorător al stadiului actual al securității acestor aplicații.
Vulnerabilități majore în aplicațiile pentru sănătate mintală
Analiza a descoperit un total de peste 2.400 de vulnerabilități în zece aplicații populare de pe piață. Dintre acestea, 54 sunt catalogate ca severitate mare, iar alte peste 500 de riscuri au fost considerate de severitate medie. Chiar dacă nu s-au depistat probleme critice de tipul compromiterii complete a datelor, numărul și natura vulnerabilităților relevă o igienă slabă a securității în dezvoltarea acestor servicii. Cercetătorii avertizează că anumite deficiențe pot fi exploatate pentru interceptarea informațiilor sensibile, falsificarea notificărilor, injecții de cod sau chiar localizarea utilizatorilor.
Un exemplu concret este utilizarea periculoasă a funcției „Intent.parseUri()” în cadrul unei aplicații de terapie, care a fost descoperită cu peste un milion de descărcări. Problema constă în procesarea șirurilor externe fără validări corespunzătoare, ceea ce poate permite unui atacator să acceseze zone interne ale aplicației, inclusiv cele ce gestionează token-uri de autentificare sau date de sesiune. În practică, această vulnerabilitate ar putea duce la expunerea datelor personale de natură terapeutică, precum și alte informații intime și sensibile despre utilizatori.
Stocare riscantă și date extrem de sensibile
Un alt capitol exploziv îl reprezintă modul în care aceste aplicații gestionează și păstrează datele utilizatorilor. În multe cazuri, informațiile sunt stocate local, într-un mod accesibil altor aplicații din telefon, ceea ce crește riscul de expunere a unor amănunte extrem de personale. Jurnale de conversație, scoruri de evaluare, notițe din sesiuni de terapie cognitiv-comportamentală sau chiar detalii despre episoade depresive sau autovătămare pot ajunge, astfel, pe mâinile răuvoitorilor.
Cercetătorii au identificat, de asemenea, configurări de securitate inadecvate, inclusiv endpoint-uri de backend expuse în fișierele de configurare sau URL-uri Firebase hardcodate. Unele aplicații folosesc algoritmi nesiguri, precum java.util.Random, pentru generarea tokenurilor sau cheilor de criptare, fapt ce subminează în mod direct securitatea datelor. Toate aceste vulnerabilități denotă o abordare superficială din partea dezvoltatorilor, în domeniul unde protecția datelor cu caracter personal ar trebui să fie prioritară.
Valoarea uriașă a datelor de sănătate mintală pentru infractori
Importanța acestor breșe depășește cu mult nivelul de securitate IT. Într-un punct de vedere mai amplu, valoarea acestor informații pentru criminalii cibernetici este extrem de mare. Sergey Toshin, fondatorul cercetării, subliniază că „datele de terapie sunt printre cele mai sensibile tipuri de informații personale și că, pe piețele ilegale, pot avea o valoare mult mai mare decât datele bancare obișnuite”. În unele cazuri, un profil poate ajunge să valoreze peste 1.000 de dolari, ceea ce traduc în fapt un potențial enorme de șantaj, phishing specializat, manipulare psihologică sau fraudă de identitate.
Accesul la istoricul emoțional, episodii de depresie, anxietate sau tratamente poate avea consecințe devastatoare pentru victime. Nu doar îți devastează intimitatea, dar poate duce la afectarea relațiilor personale, la stigmatizare sau chiar la riscuri directe pentru siguranța individuală. În plus, multe dintre aceste aplicații colectează și depozitează date care, teoretic, trebuie protejate conform legislației stricte din domeniul sănătății, ridicând semne de întrebare asupra responsabilității companiilor și standardelor aplicate.
O piață nesigure și o nevoie de actualizări frecvente
Un alt aspect alarmant este ritmul lent al actualizărilor pentru aceste aplicații. Cercetările realizate în ianuarie 2026 arată că doar patru dintre ele au primit update în ultimele luni, în timp ce majoritatea aveau versiuni foarte vechi, din anii anteriori. Această situație ridică întrebări cu privire la cât de bine sunt întreținute și monitorizate aceste aplicații, într-un domeniu atât de sensibil.
Deși lipsa vulnerabilităților de severitate ridicată în unele cazuri poate părea un semn bun, cercetătorii atrag atenția că vulnerabilitățile medii, dacă sunt exploatate în combinație, pot slăbi semnificativ apărarea generală. În realitate, hacking-ul nu se bazează pe o singură breșă, ci pe coordonarea mai multor probleme minore, ceea ce face ca orice aplicație, chiar și aparent sigură, să rămână un vector de risc.
Ce urmează pentru utilizatori și sviluppatori
În fața acestor descoperiri, devine clar că utilizatorii trebuie să fie mult mai atenți la modul în care aleg și folosesc aceste aplicații. Ritmul lent al actualizărilor, lipsa unor politici clare de confidențialitate și vulnerabilitățile tehnice evidențiază un domeniu în care prudența trebuie să fie regula, nu excepția. În special atunci când sunt implicate date atât de sensibile, orice pas greșit poate avea consecințe ireversibile.
Este de așteptat ca pe masură ce aceste probleme vor deveni cunoscute publicului larg, dezvoltatorii să fie obligați să își adapteze standardele de securitate și să implementeze măsuri robuste de protecție. Până atunci, prudența și informarea vor rămâne singurele arme pentru utilizatori în navigarea în lumea complicată a aplicațiilor de sănătate mentală în era digitală.
