Oblíbené aplikace ohrožují miliony lidí. Ihned je smažte, mají vliv přímo na vaše zdraví

Aplikace pro duševní zdraví, které by měly pomáhat, mohou vystavit uživatele vážnému riziku. Jejich průzkum odhalil stovky kritických chyb a úniky dat.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

Mobilní aplikace určené na sledování nálady, terapii nebo zvládání úzkostí dneska používá mnoho lidí. Jenže co už ví málokdo je fakt, že mohou představovat hrozbu a přímo ovlivnit psychiku i soukromí uživatelů. Mluvíme o populárních nástrojích zaměřených na duševní zdraví, které obsahují stovky až tisíce chyb a dle zjištění redakce Mobify odhalují i citlivé informace. Přitom únik takových záznamů může mít na člověka devastující dopad.

Bezpečnostní audit odhalil tisíce chyb a úniky dat

Analýzu provedla společnost Oversecured. Odborníci se zaměřili na 10 populárních aplikací pro Android, které svým stažením přesáhly dohromady 14 milionů. A výsledek zrovna nepotěší. Přes 1 500 bezpečnostních chyb, z toho 54 vysoce závažných. Tyto aplikace přitom často uchovávají:

• Přepisy terapeutických sezení
• Záznamy nálad a osobní poznámky
• Informace o užívaných lécích
• Indikátory sebepoškozování
• Údaje chráněné legislativou typu Health Insurance Portability and Accountability Act (HIPAA)

Prakticky veškeré tyto chyby dovolují útočníkům získat přístup k detailům o terapiích nebo k poznámkám z kognitivně behaviorální terapie (KBT). Problémem jsou navíc ještě špatně zabezpečené tokeny relací, nechráněné backendové API nebo využívání nevhodných náhodných generátorů (například třídy java.util.Random) pro vytváření bezpečnostních klíčů, varuje TechRadar. Útočníci tak mohou:

• zachytit přihlašovací údaje,
• podvrhnout falešná oznámení,
• vložit škodlivý HTML kód,
• zjistit polohu uživatele.

Zakladatel Oversecured Sergej Tošin upozorňuje, že záznamy o terapiích mají na černém trhu cenu až 1 000 dolarů (cca 23 000 Kč), a to je jen za jeden jediný profil. Navíc je to výrazně víc, než jaká je běžná cena za údaje o platební kartě.

Ačkoli se to možná nezdá, lze tato data využít k dalším účelům

Únik informací o duševním zdraví může vést k vydírání, řazení do určité skupiny využitelné pro specifické účely nebo pracovním problémům. Bedlivě varujeme, že nejde jen o digitální bezpečnost. Ztratit kontrolu nad osobními záznamy může zhoršit psychický stav člověka, který aplikaci používá právě kvůli tomu, že je sám zranitelný.

Navíc se ukázalo, že řada analyzovaných aplikací nebyla měsíce či roky aktualizována. Pouze čtyři z nich dostaly v posledním měsíci nějaký update. To je dost na pováženou. Popularita ani vysoký počet stažení dnes tedy nezaručují bezpečnost. Doporučujeme proto:

• Kontrolovat datum poslední aktualizace aplikace
• Prověřit vývojáře a jeho historii
• Omezit ukládání citlivých údajů v nešifrované podobě
• Pravidelně aktualizovat systém Android
• Využívat oficiální zdroje, jako je Google Play

Aplikace pro duševní zdraví mají pomáhat. Pokud však nedokážou ochránit data, mohou napáchat víc škody než užitku. V tomto případě opravdu platí, že prevence je klíčem, a někdy je nejbezpečnější volbou aplikaci jednoduše odinstalovat.