Millionen von Menschen nutzen mobile Anwendungen, um ihre psychische Gesundheit zu verwalten: Stimmungsnachfolge, kognitive Verhaltenstherapie-Tools und IA-getriebene virtuelle Partner, die Unterstützung für Depressionen, Angst- oder Panikattacken versprechen. Aber eine kürzliche technische Analyse zeigt, dass viele dieser Apps, auch mit großen Nutzerbasen, die intimsten Daten ihrer Nutzer freigeben.
Das Oversecred Mobile Security Unternehmen untersuchte zehn Anwendungen als emotionale Gesundheitsassistenten bekannt und dokumentierte insgesamt 1,575 Schwachstellen zwischen niedrigen, mittleren und hohen Schwere-Ergebnissen. Obwohl keine der identifizierten Fehler als kritisch eingestuft wurde, kann die Anzahl und die Art der Probleme - von Anmeldeinformationen Leckagen bis zu flachen Texteinstellungen - Angriffe erleichtern, die enden, Therapiehistorie, Stimmungsaufzeichnungen, Sitzungshinweise und andere Informationen, die viele äußerst empfindlich betrachten. Die Einzelheiten der Studie und der Medienberichterstattung finden Sie in den öffentlichen Berichten von Oversecured und in der von BleepingComputer veröffentlichten Notiz: Übersekt und BlepingComputer.
Unter den identifizierten Schwachstellen sind klassische mobile Sicherheitsprobleme, die zusammen in einem klinischen Kontext gefährlich sind. Einige Apps verarbeiten URis, die vom Benutzer bereitgestellt werden, ohne sie korrekt zu validieren, so dass ein Angreifer die Öffnung von internen Komponenten, die für die ausschließliche Verwendung der Anwendung selbst entwickelt. In einem Fall könnte die unsichere Verwendung von Intro.parseUri () mit extern kontrollierten Ketten einen Angreifer ermöglichen, auf interne Aktivitäten zuzugreifen, die mit Token oder Sitzungen umgehen, mit dem Risiko einer Filterung von Therapieaufzeichnungen. Andere Fehler sind die lokale Speicherung, die durch jede Geräteanwendung, Schlüssel oder Endpunkte in APK-Ressourcen und die Verwendung der java.util. Zufällige Klasse, um Token oder Schlüssel zu erzeugen, eine kryptographisch unsichere Praxis.
Der Wert der psychischen Gesundheitsdaten auf dem illegalen Markt ist real und beunruhigend: Laut den von Oversecred zitierten Forschern sind therapeutische Aufzeichnungen viel höher als andere gestohlene Daten, wodurch Nutzer dieser Apps attraktive Ziele für Kriminelle. Diese gleiche Forschung warnt, dass die meisten der Anwendungen analysiert Mangel sogar grundlegende Mechanismen wie die Erkennung von verwurzelten Geräten, so dass lokale Informationen völlig über jede Software mit hohen Privilegien im Terminal.
Die spezifischen Abtastzahlen helfen, den Bereich zu vergrößern: In den zehn überarbeiteten Apps wurden 54 hohe Schwere, 538 mittlere und 983 geringe Probleme erkannt. Unter ihnen sind Apps mit zehn Millionen von Einrichtungen und andere mit Hunderttausenden; zusammen waren sie mehr als 14.7 Millionen Downloads nach BleepingComputers Beobachtung. Trotz dieser Popularität hatten nur vier der Anwendungen zum Zeitpunkt der Analyse ein aktuelles Update erhalten und Fragen zur Wartung und Misserfolgsreaktion gestellt.
Für diejenigen, die diese Werkzeuge verwenden, stellt die Situation eine schmerzhafte Disjunktiv: die Zugänglichkeit und sofortige Hilfe, die viele Apps bieten kann lebenswichtig sein, aber das Versprechen von "privaten Gesprächen" oder "verschlüsselten Chats" wird umgedreht, wenn die technische Umsetzung ist schwach. Oversecred und die Journalisten, die den Fall abgedeckt haben, haben sich entschieden, die Namen der Apps nicht zu divulgieren, während die koordinierte Offenlegung von Sicherheitslücken auf Kurs ist, so dass Benutzer nicht immer mit Sicherheit wissen können, welche Produkt gefährdet ist.
Was können Benutzer jetzt tun? Zunächst ist es angebracht, zu überprüfen, ob die Anwendungen aktualisiert werden und die Datenschutzrichtlinien und der Sicherheits- oder Transparenzbereich des Entwicklers sorgfältig zu lesen. Wenn eine App sehr sensible klinische Daten behandelt, ist eine prudente Praxis, die Menge der auf dem Handy gespeicherten Informationen zu begrenzen, Funktionen zu vermeiden, die volle Sitzung Transkripte halten und die Berechtigungen überprüfen, die gelten. Das Betriebssystem auf dem neuesten Stand zu halten, mit biometrischen oder Geräteblöcken und nicht Installation unzuverlässiger Quellanwendungen reduziert auch die Angriffsfläche. Für diejenigen, die sich vertiefen wollen, wie man die mobile Sicherheit aus technischer Sicht bewertet, bieten Community-Projekte wie das OWASP Mobile Top 10 gute Richtlinien für Bedrohungen und Minderungen: OWASP Mobile Top 10.
Aus Sicht des Entwicklers und der Unternehmen, die digitale Gesundheitsdienste anbieten, ist die Nachricht klar: Datenschutzhinweise reichen nicht aus; sie müssen durch sichere Praktiken umgesetzt werden. Dies bedeutet nicht, Geheimnisse oder Endpunkte in flachen Text innerhalb der Binaries, die Validierung von externen Eingaben - einschließlich URis -, mit robusten kryptographischen Quellen wie SecureRansom, die Verschlüsselung von Daten im Ruhe- und im Transit, die Implementierung der Erkennung von kompromittierten Umgebungen und Rotation von Anmeldeinformationen, und regelmäßige Überprüfung von Einheiten und Buchhandlungen. Google Spielen Sie auch zwingt Entwickler, sensible Daten im Sicherheitsbereich des App-Tab zu erklären und zu schützen; das Wissen und die Umsetzung dieser Richtlinien ist Teil der Pflicht eines ernsthaften Lieferanten: Google Play Security Sektion.
Psychische Anwendungen haben eine wichtige Tür für die Demokratisierung der therapeutischen Unterstützung geöffnet, aber diese Tür muss gesperrt werden: die Informationen, die sie speichern und Prozess ist eine der empfindlichsten im digitalen Bereich. Wenn ein Service Vertraulichkeit verspricht, muss dieses Versprechen durch solide Code und Architektur unterstützt werden, nicht nur durch Nachrichten im Application Store. Mittlerweile werden Journalisten, Forscher und Regulatoren weiterhin Transparenz überwachen und fordern, so dass sich Nutzer ohne unnötige Exposition verlassen können.
Wenn Sie den technischen Bericht und die ursprüngliche Berichterstattung lesen möchten, um Ihre eigene Meinung zu bilden, können Sie die von den Forschern und der Fachpresse zitierten Ressourcen konsultieren: die übergeordnete Seite ( Übersecured.com) und das BleepingComputer-Stück, das die Ergebnisse zusammenfasst ( bleepingcomputer.com)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...