- Oversecuredは1,400万回以上のダウンロード数を持つ10個のメンタルヘルスアプリ全体で1,500個の脆弱性を発見した
- セラピーのトランスクリプト、気分ログ、服用スケジュール、その他の機密データが露出した
- セラピー記録は1件あたり1,000ドル以上で売却可能。多くのアプリは更新がなく、セキュリティリスクが高まっている
一部のメンタルヘルスアプリは、ユーザーの機密医療情報を露出させることで、実際にストレスを増加させているとエキスパートが警告しています。
セキュリティ研究者Oversecuredは最近、Androidエコシステムの10個のメンタルヘルスモバイルアプリを分析しました。これらのアプリは累計1,400万回以上ダウンロードされており、1,500を超える脆弱性を含んでいることが判明しました。そのうち54は重大度が高いと判断されました。
「これらのアプリは、モバイル上で最も機密性の高い個人データを収集・保存しています:セラピーセッションのトランスクリプト、気分ログ、服用スケジュール、自傷行為のインジケーター、場合によってはHIPAAで保護されている情報です」と研究者は新しいレポートの中で述べています。
ユニークなリスク
脆弱性はさまざまな方法で悪用される可能性がありますが、主に機密ユーザーデータを露出させるために使用されます。例えば、セラピーの詳細、認知行動療法(CBT)セッションノート、さまざまなスコアなどです。
これらの問題は、ログイン認証情報をインターセプトしたり、通知をスプーフィングしたり、悪意のあるHTMLコードを注入したり、ユーザーの位置を特定したりするためにも使用される可能性があります。
Oversecuredは、場合によっては平文の設定データを発見したと述べています。これにはバックエンドAPIエンドポイントとハードコードされたFirebaseデータベースURLが含まれています。アプリの中には、セッショントークンと暗号化キーを生成するために暗号学的に安全でないjava.util.Randomクラスを使用しているものもあります。
Oversecuredの創設者であるSergey Toshinにとって、メンタルヘルスデータは「ユニークなリスク」を持っており、サイバー犯罪者がこれに特に気付いているようです。セラピー記録は「クレジットカード番号よりもはるかに多い」1件あたり1,000ドル以上で売却されると述べています。
これらのアプリをリスキーなものとして示す可能性がある1つのポイントは、それらの更新頻度です。わずか4つのアプリのみがこの月に更新を受け取りましたが、残りは数ヶ月、時には数年更新されていません。
セキュアな状態を保つために、多くのダウンロード数とポジティブなレビューを持つ人気のあるアプリを選ぶだけではもはや十分ではありません。ユーザーは積極的にサポートされ、定期的な更新を受け取るアプリを選択する必要があります。
そしてもちろんあなたもできます TikTokでTechRadarをフォロー ニュース、レビュー、ビデオ形式のアンボックス、そして私たちからの定期的なアップデートを WhatsAppで受け取ってください。
