Bezpečnostná firma Oversecured našla v desiatich populárnych aplikáciách pre duševné zdravie celkovo 1 575 bezpečnostných nedostatkov, informuje portál Techbyte.sk. Spolu mali tieto aplikácie dosiahnuť takmer 15 miliónov stiahnutí v obchode Google Play.
Zakladateľ Oversecured Sergey Toshin upozornil, že ukradnuté dáta z podobných aplikácií sa predávajú na dark webe, pričom ich cena môže dosiahnuť aj okolo 1 000 dolárov. Aplikácie pritom nie sú bežného charakteru: používatelia do nich zadávajú záznamy z terapeutických sedení, informácie o liekoch či poznámky o svojom psychickom stave, napísal server TECHBYTE.sk.
Toshinovo varovanie
Nájdené slabiny môžu podľa Techbyte.sk viesť k úniku dát, zneužitiu účtov alebo odhaleniu súkromných informácií. Niektoré preverované aplikácie pritom verejne deklarovali šifrovanie dát. Napriek tomu výskumníci v nich bezpečnostné nedostatky našli.
Časť analyzovaných nástrojov využíva umelú inteligenciu a komunikuje s používateľom formou chatbota, ktorý ponúka rady a podporu pripomínajúcu rozhovor s terapeutom. Práve do takýchto aplikácií ľudia zvyknú zadávať intímne detaily zo vzťahov, zdravotných problémov či každodenného života, bez toho, aby uvažovali nad tým, čo sa s týmito dátami deje na pozadí.
337 chýb v jednej aplikácii
Najviac nedostatkov, konkrétne 337, odhalili výskumníci v aplikácii kategorizovanej ako sledovač nálad a návykov. Nasledoval AI terapeutický chatbot s 255 chybami a platforma pre emocionálne zdravie s 215 nedostatkami. Kompletný zoznam desiatich preverených aplikácií a počet nájdených chýb:
- Mood & habit tracker (337 chýb)
- AI therapy chatbot (255 chýb)
- AI emotional health platform (215 chýb)
- Health & symptom tracker (211 chýb)
- Depression management tool (157 chýb)
- CBD-based anxiety app (110 chýb)
- Online therapy & support community (98 chýb)
- Anxiety & phobia self help (69 chýb)
- Military stress management (62 chýb)
- AI CBD chatbot (61 chýb)
Aplikácie s najvyšším počtom chýb sú zároveň tie, ktoré pracujú s najcitlivejšími kategóriami dát: náladami, symptómami a terapeutickými rozhovormi. Toshin konkrétne uviedol, že kupci takýchto dát ich môžu zneužiť na vydieranie, poškodenie reputácie alebo krádež identity.
Krádež identity alebo vydieranie
Únik zdravotných a psychologických dát sa od bežného úniku prihlasovacích údajov líši rozsahom možného poškodenia. Informácie o psychickom stave, liekoch alebo terapii sú dlhodobo zneužiteľné a ťažko odvolateľné. Portál Techbyte.sk zároveň pripomína, že práve pri aplikáciách pre duševné zdravie používatelia často podceňujú riziko, keďže tieto nástroje pôsobia dôveryhodne a terapeuticky.
Oversecured analyzoval aplikácie dostupné v Google Play. Výskumníci nenašli 1 575 nedostatkov naprieč marginálnymi nástrojmi, ale naprieč aplikáciami, ktoré si dohromady stiahli takmer 15 miliónov používateľov.
Podľa Toshina sa podobné dáta na dark webe aktívne obchodujú. Cena tisíc dolárov za balík citlivých psychologických záznamov naznačuje, že dopyt po nich existuje a trh s nimi funguje.
