📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários aplicativos móveis de saúde mental com milhões de downloads no Google Play contêm vulnerabilidades de segurança que podem expor informações médicas confidenciais dos usuários.
Em um dos aplicativos, pesquisadores de segurança descobriram mais de 85 vulnerabilidades de média e alta gravidade que poderiam ser exploradas para comprometer os dados terapêuticos e a privacidade dos usuários.
Alguns dos produtos são companheiros de IA projetados para ajudar pessoas que sofrem de depressão clínica, múltiplas formas de ansiedade, ataques de pânico, estresse e transtorno bipolar.
Pelo menos seis dos dez aplicativos analisados afirmam que as conversas ou bate-papos dos usuários permanecem privados ou são criptografados com segurança nos servidores do fornecedor.
"Os dados de saúde mental acarretam riscos únicos. Na dark web, os registos de terapia são vendidos por 1.000 dólares ou mais por registo, muito mais do que os números de cartão de crédito", afirma Sergey Toshin, fundador da empresa de segurança móvel Oversecured.
Mais de 1.500 problemas de segurança encontrados
A Oversecured analisou dez aplicativos móveis anunciados como ferramentas que podem ajudar com vários problemas de saúde mental e descobriu um total de 1.575 vulnerabilidades de segurança (54 classificadas como de alta gravidade, 538 de média gravidade e 983 de baixa gravidade).
Tipo de aplicativo
Instalações
Alto
Médio
Baixo
Total
Data da verificação
01
Rastreador de humor e hábitos
Mais de 10 milhões
1
147
189
337
23/01/2026
02
Chatbot de terapia de IA
Mais de 1 milhão
23
63
169
255
22/01/2026
03
Plataforma de saúde emocional de IA
Mais de 1 milhão
13
124
78
215
23/01/2026
04
Rastreador de saúde e sintomas
500 mil +
7
31
173
211
22/01/2026
05
Ferramenta de gerenciamento de depressão
100 mil +
-
66
91
157
23/01/2026
06
Aplicativo de ansiedade baseado em TCC
500 mil +
3
45
62
110
22/01/2026
07
Terapia online e comunidade de apoio
Mais de 1 milhão
7
20
71
98
23/01/2026
08
Autoajuda para ansiedade e fobia
50 mil +
-
15
54
69
22/01/2026
09
Gestão do estresse militar
50 mil +
-
12
50
62
22/01/2026
10
Chatbot de IA CBT
500 mil +
-
15
46
61
23/01/2026
Embora nenhum dos problemas descobertos seja crítico, muitos podem ser aproveitados para interceptar credenciais de login, falsificar notificações, injeção de HTML ou localizar o usuário.
Os pesquisadores usaram o scanner Oversecured para verificar os arquivos APK dos dez aplicativos de saúde mental em busca de padrões de vulnerabilidade conhecidos em dezenas de categorias.
Em um relatório compartilhado com o BleepingComputer, os pesquisadores dizem que alguns dos aplicativos verificados “analisam URIs fornecidos pelo usuário sem validação adequada”.
Um aplicativo de terapia com mais de um milhão de downloads usa Intent.parseUri() em uma string controlada externamente e inicia o objeto de mensagem resultante (intenção) sem validar o componente de destino.
Isso permite que um invasor force o aplicativo a abrir qualquer atividade interna, mesmo que não seja destinada ao acesso externo.
“Como essas atividades internas geralmente lidam com tokens de autenticação e dados de sessão, a exploração pode dar ao invasor acesso aos registros de terapia de um usuário”, explica Oversecured.
Outro problema é armazenar dados localmente de forma que dê acesso de leitura a qualquer aplicativo no dispositivo. Dependendo das informações salvas, isso pode expor detalhes da terapia, como entradas da terapia, notas da sessão de terapia cognitivo-comportamental (TCC) e diversas pontuações.
Oversecured afirma que também descobriu dados de configuração em texto simples, incluindo endpoints de API de back-end e um URL de banco de dados Firebase codificado, dentro dos recursos do APK.
Além disso, alguns dos aplicativos vulneráveis usam a classe java.util.Random criptograficamente insegura para gerar tokens de sessão ou chaves de criptografia.
Segundo os pesquisadores, “a maioria dos 10 aplicativos não possui qualquer forma de detecção de root”. Em um dispositivo com root (desbloqueado), qualquer aplicativo com privilégios de root tem acesso a todos os dados de saúde armazenados localmente.
Oversecured afirma que seis dos dez aplicativos analisados “não tiveram nenhuma descoberta de alta gravidade, mas ainda apresentavam problemas de gravidade média que enfraquecem sua postura geral de segurança”.
“Esses aplicativos coletam e armazenam alguns dos dados pessoais mais confidenciais em dispositivos móveis: transcrições de sessões de terapia, registros de humor, horários de medicamentos, indicadores de automutilação e, em alguns casos, informações protegidas pela HIPAA”, observam os pesquisadores.
Pelas observações do BleepingComputer, a contagem coletiva de downloads dos aplicativos verificados pelo Oversecured é superior a 14,7 milhões, e apenas quatro receberam uma atualização recentemente neste mês. De resto, a data da atualização mais recente era novembro de 2025 ou mesmo setembro de 2024.
As verificações do Oversecured ocorreram entre 22 e 23 de janeiro e tiveram como alvo as versões mais recentes do aplicativo disponíveis na época. Os pesquisadores não podem confirmar se alguma das vulnerabilidades descobertas foi resolvida.
BleepingComputer evitou compartilhar os nomes dos aplicativos afetados, pois as vulnerabilidades ainda estão sendo divulgadas pela Oversecured.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos e melhorar a confiabilidade por meio de au
Em um dos aplicativos, pesquisadores de segurança descobriram mais de 85 vulnerabilidades de média e alta gravidade que poderiam ser exploradas para comprometer os dados terapêuticos e a privacidade dos usuários.
Alguns dos produtos são companheiros de IA projetados para ajudar pessoas que sofrem de depressão clínica, múltiplas formas de ansiedade, ataques de pânico, estresse e transtorno bipolar.
Pelo menos seis dos dez aplicativos analisados afirmam que as conversas ou bate-papos dos usuários permanecem privados ou são criptografados com segurança nos servidores do fornecedor.
"Os dados de saúde mental acarretam riscos únicos. Na dark web, os registos de terapia são vendidos por 1.000 dólares ou mais por registo, muito mais do que os números de cartão de crédito", afirma Sergey Toshin, fundador da empresa de segurança móvel Oversecured.
Mais de 1.500 problemas de segurança encontrados
A Oversecured analisou dez aplicativos móveis anunciados como ferramentas que podem ajudar com vários problemas de saúde mental e descobriu um total de 1.575 vulnerabilidades de segurança (54 classificadas como de alta gravidade, 538 de média gravidade e 983 de baixa gravidade).
Tipo de aplicativo
Instalações
Alto
Médio
Baixo
Total
Data da verificação
01
Rastreador de humor e hábitos
Mais de 10 milhões
1
147
189
337
23/01/2026
02
Chatbot de terapia de IA
Mais de 1 milhão
23
63
169
255
22/01/2026
03
Plataforma de saúde emocional de IA
Mais de 1 milhão
13
124
78
215
23/01/2026
04
Rastreador de saúde e sintomas
500 mil +
7
31
173
211
22/01/2026
05
Ferramenta de gerenciamento de depressão
100 mil +
-
66
91
157
23/01/2026
06
Aplicativo de ansiedade baseado em TCC
500 mil +
3
45
62
110
22/01/2026
07
Terapia online e comunidade de apoio
Mais de 1 milhão
7
20
71
98
23/01/2026
08
Autoajuda para ansiedade e fobia
50 mil +
-
15
54
69
22/01/2026
09
Gestão do estresse militar
50 mil +
-
12
50
62
22/01/2026
10
Chatbot de IA CBT
500 mil +
-
15
46
61
23/01/2026
Embora nenhum dos problemas descobertos seja crítico, muitos podem ser aproveitados para interceptar credenciais de login, falsificar notificações, injeção de HTML ou localizar o usuário.
Os pesquisadores usaram o scanner Oversecured para verificar os arquivos APK dos dez aplicativos de saúde mental em busca de padrões de vulnerabilidade conhecidos em dezenas de categorias.
Em um relatório compartilhado com o BleepingComputer, os pesquisadores dizem que alguns dos aplicativos verificados “analisam URIs fornecidos pelo usuário sem validação adequada”.
Um aplicativo de terapia com mais de um milhão de downloads usa Intent.parseUri() em uma string controlada externamente e inicia o objeto de mensagem resultante (intenção) sem validar o componente de destino.
Isso permite que um invasor force o aplicativo a abrir qualquer atividade interna, mesmo que não seja destinada ao acesso externo.
“Como essas atividades internas geralmente lidam com tokens de autenticação e dados de sessão, a exploração pode dar ao invasor acesso aos registros de terapia de um usuário”, explica Oversecured.
Outro problema é armazenar dados localmente de forma que dê acesso de leitura a qualquer aplicativo no dispositivo. Dependendo das informações salvas, isso pode expor detalhes da terapia, como entradas da terapia, notas da sessão de terapia cognitivo-comportamental (TCC) e diversas pontuações.
Oversecured afirma que também descobriu dados de configuração em texto simples, incluindo endpoints de API de back-end e um URL de banco de dados Firebase codificado, dentro dos recursos do APK.
Além disso, alguns dos aplicativos vulneráveis usam a classe java.util.Random criptograficamente insegura para gerar tokens de sessão ou chaves de criptografia.
Segundo os pesquisadores, “a maioria dos 10 aplicativos não possui qualquer forma de detecção de root”. Em um dispositivo com root (desbloqueado), qualquer aplicativo com privilégios de root tem acesso a todos os dados de saúde armazenados localmente.
Oversecured afirma que seis dos dez aplicativos analisados “não tiveram nenhuma descoberta de alta gravidade, mas ainda apresentavam problemas de gravidade média que enfraquecem sua postura geral de segurança”.
“Esses aplicativos coletam e armazenam alguns dos dados pessoais mais confidenciais em dispositivos móveis: transcrições de sessões de terapia, registros de humor, horários de medicamentos, indicadores de automutilação e, em alguns casos, informações protegidas pela HIPAA”, observam os pesquisadores.
Pelas observações do BleepingComputer, a contagem coletiva de downloads dos aplicativos verificados pelo Oversecured é superior a 14,7 milhões, e apenas quatro receberam uma atualização recentemente neste mês. De resto, a data da atualização mais recente era novembro de 2025 ou mesmo setembro de 2024.
As verificações do Oversecured ocorreram entre 22 e 23 de janeiro e tiveram como alvo as versões mais recentes do aplicativo disponíveis na época. Os pesquisadores não podem confirmar se alguma das vulnerabilidades descobertas foi resolvida.
BleepingComputer evitou compartilhar os nomes dos aplicativos afetados, pois as vulnerabilidades ainda estão sendo divulgadas pela Oversecured.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos e melhorar a confiabilidade por meio de au
#samirnews #samir #news #boletimtec #aplicativos #de #saúde #mental #para #android #com #14,7 #milhões #de #instalações #repletas #de #falhas #de #segurança
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário