U februaru 2026. Oversecured kompanija objavila je izveštaj nakon što su istraživači revidirali 10 popularnih Android aplikacije za mentalno zdravlje. Detalno su ispitali aplikacije za praćenje raspoloženja i AI terapeuta i alate za upravljanje depresijom i anksioznošću. Tokom istraživanja otkrili su čak 1.575 ranjivosti!
Čak 54 propusta klasifikovana su kao kritična, iako je šest od 10 testiranih aplikacija izričito obećavalo korisnicima da su njihovi podaci u potpunosti šifrovani i bezbedno zaštićeni. Sudeći prema statistikama preuzimanja na Google Play prodavnice, to znači da bi čak 15 miliona ljudi moglo bi biti pogođeno.
Šta je pronađeno u aplikacijama
Oversecured je kompanija za bezbednost aplikacija koja koristi specijalizovani skener za analizu APK fajlova u potrazi za poznatim obrascima ranjivosti. Svoja istraživanja ova kompanija vrši u desetinama kategorija. Analiziranih 10 aplikacija za praćenje mentalnog zdravlja sa Google Play-a ostvarilo je sledeće rezultate.
Anatomija propusta
Otkrivene ranjivosti su raznovrsne, ali se sve svode na isto. To je da omogućavanje napadačima da pristupaju podacima koji bi trebalo da budu strogo zaštićeni.
Jedna od ranjivosti omogućava pristup bilo kojoj internoj aktivnosti aplikacije, čak i onoj koja nikada nije bila namenjena spoljnim korisnicima. „To otvara vrata preuzimanju autentifikacionih tokena i podataka o korisničkim sesijama. Kada napadač dođe do tih podataka, praktično može dobiti pristup terapijskim zapisima korisnika“, kaže Rade Furtula, presales menadžer kompanije Kaspersky za Zapadni Balkan, komentarišući rezultate istraživanja.
Drugi problem je nebezbedno lokalno skladištenje podataka sa dozvolama za čitanje koje su dodeljene bilo kojoj drugoj aplikaciji na uređaju. „Recimo, aplikacija baterijske lampe ili kalkulator na telefonu mogli bi potencijalno da čitaju vaše zapise kognitivno-bihejvioralne terapije (CBT). I ne samo to, nego i lične beleške i procene raspoloženja“, dodaje Furtula.
Pročitajte još:
Istraživači su takođe pronašli nešifrovane konfiguracione podatke direktno u APK instalacionim fajlovima. To je uključivalo backend API adrese i hardkodirane URL-ove za Firebase baze podataka. Dodatno, nekoliko aplikacija koristilo je kriptografski slabu klasu java.util.Random za generisanje tokena sesije i ključeva za šifrovanje. Na kraju, većina testiranih aplikacija nije imala detekciju root/jailbreak uređaja. Na root-ovanom uređaju svaka aplikacija treće strane sa root privilegijama može dobiti potpun pristup svim lokalno sačuvanim medicinskim podacima.
Od 10 analiziranih aplikacija samo četiri su dobile ažuriranja u februaru ove godine. Ostale aplikacije za mentalno zdravlje nisu dobile zakrpu još od novembra 2025, a jedna nije ažurirana od septembra 2024. „Proći 18 meseci bez bezbednosne zakrpe u ovoj industriji je čitava večnost. To je posebno dugo za aplikaciju koja čuva dnevnike raspoloženja, transkripte terapija i rasporede uzimanja lekova“, kaže Furtula.
Šta bi sve moglo da procuri
Šta ove aplikacije prikupljaju i čuvaju, a radi se o informacijama koje biste verovatno podelili samo sa pouzdanim stručnjakom. To su transkripti terapijskih sesija, dnevnici raspoloženja, rasporedi uzimanja lekova, indikatori samopovređivanja, CBT beleške i različite kliničke skale procene.
Još 2021. godine kompletni medicinski dosijei prodavani su na dark web-u za 1.000 američkih dolara po zapisu. Poređenja radi, ukraden broj kreditne kartice prodaje se za između 5 i 30 dolara. Medicinski dosije sadrži potpun paket identiteta: ime, adresu, podatke o osiguranju i istoriju dijagnoza. Za razliku od kreditne kartice, medicinsku istoriju ne možete jednostavno ponovo izdati. Pored toga, medicinske prevare je notorno teško otkriti. Dok banka može da označi sumnjivu transakciju za nekoliko sati, lažan zahtev za osiguranje za nepostojeći tretman može proći neprimećen godinama.
Ovaj film smo već gledali
Studija kompanije Oversecured nije izolovana horor-priča. Još 2020. Julius Kivimäki je hakovao bazu podataka finske psihoterapijske klinike Vastaamo i ukrao zapise 33 000 pacijenata. Kada je klinika odbila da plati otkupninu od 400.000 evra, Kivimäki je počeo da šalje direktne pretnje pacijentima. Platite 200 evra u Bitcoin valuti u roku od 24 sata ili će vaši zapisi postati javni, pisalo je u jednoj od poruka. Na kraju je ionako objavio celu bazu podataka na dark web-u. Najmanje dve osobe izvršile su samoubistvo, a klinika je bila primorana da proglasi bankrot. Kivimäki je na kraju osuđen na šest godina i tri meseca zatvora, u suđenju koje je u Finskoj postavilo rekord po broju uključenih žrtava.
Američka Federalna trgovinska komisija (FTC) kaznila je giganta online terapije BetterHelp sa 7,8 miliona dolara tokom 2023. Iako su na stranici za registraciju navodili da su podaci korisnika strogo poverljivi, kompanija je uhvaćena kako ih prosleđuje. To je uključivalo odgovore na upitnike o mentalnom zdravlju, mejl adrese i IP adrese. Prosleđivala ih je kompanijama Facebook, Snapchat, Criteo i Pinterest radi ciljanog oglašavanja. Kada se sve završilo, 800.000 pogođenih korisnika dobilo je ukupno po 10 dolara odštete.
U septembru 2024. bezbednosni istraživač Jeremiah Fowler naišao je na javno dostupnu Confidant Health bazu podataka, usluga specijalizovanih za oporavak od zavisnosti i mentalno zdravlje. Baza je sadržala audio i video snimke sesija, transkripte, psihijatrijske beleške, rezultate testova na droge i kopije vozačkih dozvola. Ukupno 5,3 terabajta podataka, odnosno 126.000 fajlova ili 1,7 miliona zapisa, bilo je dostupno bez lozinke.
Kako da vas aplikacije za mentalno zdravlje ne izdaju
Potpuno izbacivanje ovih aplikacija iz života jeste, naravno, najsigurnija opcija, ali svakako nije i najrealnija. Osim toga, nema garancije da možete zaista obrisati već prikupljene podatke čak i ako izbrišete svoj nalog. Ranije smo pisali o mukotrpnom procesu uklanjanja sopstvenih podataka iz baza posrednika koji trguju podacima. Da, moguće je, ali budite spremni na priličnu glavobolju. Rade Furtula iz kompanije Kaspersky preporučuje za aplikacije za mentalno zdravlje sledeće stvari.
Pre toga pročitajte:
- Proverite dozvole pre nego što pritisnete Instaliraj. U Google Play-u idite na Opis aplikacije → O ovoj aplikaciji → Dozvole. Aplikacija za praćenje raspoloženja nema razloga da traži pristup vašoj kameri, mikrofonu, kontaktima ili preciznoj GPS lokaciji. Ako to traži, ne brine o vašem blagostanju, već prikuplja podatke
- Zaista pročitajte politiku privatnosti. Razumemo! Gotovo niko ne čita ove višestranične, sitno ispisane dokumente. Ali kada servis prikuplja vaše najintimnije misli, vredi bar preleteti pogledom. Obratite pažnju na upozoravajuće znakove: da li kompanija deli podatke sa trećim stranama? Da li možete ručno obrisati svoje zapise? Da li se politika izričito odnosi na aplikaciju ili samo na sajt? Tekst politike uvek možete ubaciti u neki AI alat i zamoliti ga da označi problematične odredbe
- Proverite datum poslednjeg ažuriranja. Aplikacija koja nije ažurirana duže od šest meseci verovatno je prepuna neispravljenih ranjivosti. Podsetimo: šest od 10 testiranih aplikacije za mentalno zdravlje nije bilo ažurirano mesecima
- Isključite sve što nije neophodno u podešavanjima privatnosti na telefonu. Kada god dobijete upit, uvek izaberite zatraži da aplikacija ne prati. Kada vas aplikacija nagovara da uključite određeni tip praćenja, uz obrazloženje da je to za internu optimizaciju, gotovo uvek je reč o marketinškom triku, a ne o funkcionalnoj potrebi. Ako aplikacija zaista ne može da radi bez neke dozvole, uvek je možete kasnije uključiti
- Ne koristite opcije Prijavite se pomoću. Prijavljivanje Facebook, Apple, Google ili Microsoft servisom stvara identifikatore i daje kompanijama priliku da povežu vaše podatke na različitim platformama
- Sve što ukucate tretirajte kao javnu objavu na društvenim mrežama. Ako ne biste želeli da to pročita neko na netu, verovatno ne bi trebalo ni da unosite u aplikaciju sa 150 ranjivosti koja nije dobila bezbednosnu zakrpu još od pretprošle godine.
Pročitajte još:
I baš zbog svega, aplikacije za mentalno zdravlje trebalo bi da vam budu podrška, a ne opasnost. Vodite računa da vi kreirate bezbedno okruženje. Imate kontrolu – koristite je!
