В приложениях для психического здоровья найдены критические уязвимости
В феврале 2026 года компания Oversecured опубликовала отчёт о проверке десяти популярных Android-приложений для психического здоровья (это трекеры настроения, ИИ-терапевты, инструменты для борьбы с депрессией и тревожностью): в них нашли 1575 уязвимостей, причём 54 из них оказались критическими.
При этом, судя по количеству установок из Google Play, суммарно этими приложениями может пользоваться до 15 миллионов человек.
Обнаруженные уязвимости разнообразны, но суть одна — они дают атакующим доступ к тому, что должно быть за семью печатями.
Так, одна из уязвимостей позволяет атакующему получить доступ к любой внутренней активности приложения, даже той, что не предназначена для внешнего доступа, и таким образом получить токены аутентификации и данные сессий пользователя. А с использованием их злоумышленник может получить прямой доступ к терапевтическим записям пользователя.
Другая проблема — локальное хранение данных с правами на чтение для любого приложения на устройстве. То есть какой-нибудь фонарик или калькулятор на вашем смартфоне потенциально может прочитать записи о ваших сеансах когнитивно-поведенческой терапии, заметки и оценки состояния.
Кроме того, часть приложений использует криптографически слабый класс java.util.Random для генерации токенов сессий и ключей шифрования. Наконец, большинство из протестированных приложений не имеет защиты от работы на разблокированном телефоне с джейлбрейком (root-доступом), где любое стороннее приложение с правами суперпользователя может получить полный доступ ко всем локально хранимым медицинским данным.
При этом из десяти приложений только четыре получили обновления в феврале 2026-го. Остальные не обновлялись с ноября 2025-го, а одно — с сентября 2024 года.
Что собирают и хранят проанализированные приложения? То, чем вы вряд ли хотели бы поделиться с кем-то кроме своего врача: стенограммы терапевтических сессий, логи настроения, расписание приема медикаментов, индикаторы самоповреждения, заметки из сессий когнитивно-поведенческой терапии и различные оценочные шкалы.
Источник: Kaspersky
Изображение только для иллюстрации. Источник: Freepik.com
