Diversos aplicativos de saúde mental para dispositivos móveis, com milhões de downloads na Google Play, apresentam vulnerabilidades de segurança que podem expor informações médicas sensíveis dos usuários.
Em um dos apps analisados, pesquisadores identificaram mais de 85 falhas classificadas como médias e altas, que podem ser exploradas para comprometer dados e a privacidade das sessões de terapia.
Alguns desses aplicativos funcionam como assistentes de inteligência artificial, voltados para ajudar pessoas com depressão clínica, diferentes tipos de ansiedade, ataques de pânico, estresse e transtorno bipolar.
Pelo menos seis dos dez apps avaliados garantem que as conversas permanecem privadas ou são criptografadas de forma segura nos servidores dos fornecedores.
“O dado de saúde mental apresenta riscos únicos.
No mercado negro, registros de terapia são vendidos por mil dólares ou mais cada, muito acima do valor de números de cartão de crédito”, ressalta Sergey Toshin, fundador da empresa de segurança móvel Oversecured.
A Oversecured escaneou dez aplicativos que se apresentam como ferramentas para tratamento de questões de saúde mental e encontrou, ao todo, 1.575 vulnerabilidades — sendo 54 graves, 538 médias e 983 leves.
Embora nenhuma falha tenha sido classificada como crítica, muitas podem ser usadas para interceptar credenciais de login, forjar notificações, realizar injeção de HTML ou até rastrear a localização do usuário.
Os pesquisadores utilizaram o scanner da Oversecured para analisar os arquivos APK dos apps e identificar padrões conhecidos de vulnerabilidades em dezenas de categorias.
No relatório compartilhado com o BleepingComputer, os especialistas destacam que alguns apps “processam URIs fornecidos pelo usuário sem a devida validação”.
Em um aplicativo de terapia com mais de um milhão de downloads, foi detectado o uso do método Intent.parseUri() em uma string controlada externamente, que pode disparar intents sem validar o componente de destino.
Isso permite que um atacante force o app a abrir qualquer atividade interna, mesmo que ela não seja destinada a acesso externo.
“Como essas atividades internas frequentemente lidam com tokens de autenticação e dados de sessão, a exploração pode dar acesso a registros de terapia do usuário”, explica a Oversecured.
Outra vulnerabilidade grave é o armazenamento local de dados com permissão de leitura para qualquer aplicativo no dispositivo.
Dependendo do conteúdo, isso pode revelar detalhes confidenciais, como anotações de sessões de Terapia Cognitivo-Comportamental (CBT), registros terapêuticos e diferentes escores.
Além disso, a Oversecured identificou dados de configuração em texto simples dentro dos recursos dos APKs, como endpoints de APIs de backend e URLs de bancos de dados Firebase codificados diretamente no código.
Também foi detectado o uso da classe java.util.Random, que não é segura do ponto de vista criptográfico, para gerar tokens de sessão ou chaves de criptografia em alguns dos apps vulneráveis.
Segundo a pesquisa, “a maioria dos dez aplicativos não possui qualquer tipo de detecção de root”.
Em dispositivos com root (jailbreak), qualquer app com privilégios elevados pode acessar todos os dados de saúde armazenados localmente.
O estudo mostra ainda que seis dos dez apps não apresentaram vulnerabilidades graves, mas continham falhas médias que comprometem sua segurança geral.
“Esses aplicativos coletam e armazenam alguns dos dados pessoais mais sensíveis em dispositivos móveis, incluindo transcrições de sessões de terapia, registros de humor, calendários de medicação, indicadores de autolesão e, em certos casos, informações protegidas pela HIPAA”, alertam os pesquisadores.
A soma dos downloads dos apps analisados ultrapassa 14,7 milhões.
Apenas quatro receberam atualização recente — neste mês.
Nos demais, a última atualização ocorreu entre novembro de 2023 e setembro de 2024.
As análises da Oversecured foram feitas entre os dias 22 e 23 de janeiro, focando nas versões mais recentes disponíveis na época.
Os pesquisadores não confirmam se as vulnerabilidades já foram corrigidas.
Até o momento, os nomes dos aplicativos afetados não foram divulgados, pois a Oversecured ainda conduz a divulgação responsável das falhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...