Izvor: Advertiser-Serbia.com, 13.Mar.2026, 10:59

Aplikacije za mentalno zdravlje: podrška, ali po koju cenu

Pedeset četiri takva propusta klasifikovana su kao kritična, iako je čak šest od deset testiranih aplikacija izričito obećavalo korisnicima da su njihovi podaci „u potpunosti šifrovani i bezbedno zaštićeni“. Sudeći prema statistikama preuzimanja na Google Play-u, to znači da bi čak 15 miliona ljudi moglo bi biti pogođeno.

Šta je pronađeno u aplikacijama

Oversecured je kompanija za bezbednost mobilnih aplikacija koja koristi specijalizovani skener za >> Pročitaj celu vest na sajtu Advertiser-Serbia.com << analizu APK fajlova u potrazi za poznatim obrascima ranjivosti u desetinama kategorija. Analiziranih deset aplikacija za praćenje mentalnog zdravlja sa Google Play-a ostvarilo je sledeće rezultate.

Ranjivosti pronađene u 10 testiranih aplikacija za mentalno zdravlje. Izvor.

Anatomija propusta

Otkrivene ranjivosti su raznovrsne, ali se sve svode na jedno: omogućavanje napadačima da pristupaju podacima koji bi trebalo da budu strogo zaštićeni.

Jedna od ranjivosti omogućava napadaču pristup bilo kojoj internoj aktivnosti aplikacije — čak i onoj koja nikada nije bila namenjena spoljnim korisnicima. „To otvara vrata preuzimanju autentifikacionih tokena i podataka o korisničkim sesijama. Kada napadač dođe do tih podataka, praktično može dobiti pristup terapijskim zapisima korisnika“ kaže Rade Furtula, presales menadžer kompanije Kaspersky za Zapadni Balkan, komentarišući rezultate ovog istraživanja.

Drugi problem je nebezbedno lokalno skladištenje podataka sa dozvolama za čitanje koje su dodeljene bilo kojoj drugoj aplikaciji na uređaju. „Drugim rečima, neka nasumična aplikacija za baterijsku lampu ili kalkulator na vašem telefonu mogla bi potencijalno da čita vaše zapise kognitivno-bihejvioralne terapije (CBT), lične beleške i procene raspoloženja“ dodaje Furtula.

Istraživači su takođe pronašli nešifrovane konfiguracione podatke direktno u APK instalacionim fajlovima. To je uključivalo backend API adrese i hardkodirane URL-ove za Firebase baze podataka. Pored toga, nekoliko aplikacija koristilo je kriptografski slabu klasu java.util.Random za generisanje tokena sesije i ključeva za šifrovanje. Na kraju, većina testiranih aplikacija nije imala detekciju root/jailbreak uređaja. Na rootovanom uređaju svaka aplikacija treće strane sa root privilegijama može dobiti potpun pristup svim lokalno sačuvanim medicinskim podacima.

Od 10 analiziranih aplikacija samo četiri dobile ažuriranja u februaru 2026. Ostale nisu dobile zakrpu još od novembra 2025, a jedna nije ažurirana od septembra 2024. „Proći 18 meseci bez bezbednosne zakrpe u ovoj industriji je čitava večnost — posebno za aplikaciju koja čuva dnevnike raspoloženja, transkripte terapija i rasporede uzimanja lekova“ kaže Furtula.

Šta bi moglo da procuri?

Šta ove aplikacije prikupljaju i čuvaju? Reč je o informacijama koje biste verovatno podelili samo sa pouzdanim stručnjakom: transkripti terapijskih sesija, dnevnici raspoloženja, rasporedi uzimanja lekova, indikatori samopovređivanja, CBT beleške i različite kliničke skale procene.

Još 2021. godine kompletni medicinski dosijei prodavali su se na dark web-u za 1000 američkih dolara po zapisu. Poređenja radi, ukradeni broj kreditne kartice prodaje se za između 5 i 30 dolara. Medicinski dosije sadrži potpun paket identiteta: ime, adresu, podatke o osiguranju i istoriju dijagnoza. Za razliku od kreditne kartice, medicinsku istoriju ne možete jednostavno „ponovo izdati“. Pored toga, medicinske prevare je notorno teško otkriti. Dok banka može označiti sumnjivu transakciju za nekoliko sati, lažni zahtev za osiguranje za nepostojeći tretman može proći neprimećeno godinama.

Ovaj film smo već gledali

Studija kompanije Oversecured nije izolovana horor-priča. Još 2020. Julius Kivimäki je hakovao bazu podataka finske psihoterapijske klinike Vastaamo i ukrao zapise 33 000 pacijenata. Kada je klinika odbila da plati otkupninu od 400 000 evra, Kivimäki je počeo da šalje direktne pretnje pacijentima: „Platite 200 evra u Bitcoinu u roku od 24 sata, ili će vaši zapisi postati javni“. Na kraju je ionako objavio celu bazu podataka na dark web-u. Najmanje dve osobe izvršile su samoubistvo, a klinika je bila primorana da proglasi bankrot. Kivimäki je na kraju osuđen na šest godina i tri meseca zatvora, u suđenju koje je u Finskoj postavilo rekord po broju uključenih žrtava.

Godine 2023. američka Federalna trgovinska komisija (FTC) kaznila je giganta online terapije BetterHelp sa 7,8 miliona dolara. Iako su na stranici za registraciju navodili da su podaci korisnika strogo poverljivi, kompanija je uhvaćena kako prosleđuje informacije o korisnicima — uključujući odgovore na upitnike o mentalnom zdravlju, email adrese i IP adrese — kompanijama Facebook, Snapchat, Criteo i Pinterest radi ciljanog oglašavanja. Kada se sve završilo, 800 000 pogođenih korisnika dobilo je ukupno po 10 dolara odštete.

U septembru 2024. bezbednosni istraživač Jeremiah Fowler naišao je na javno dostupnu bazu podataka kompanije Confidant Health, pružaoca usluga specijalizovanog za oporavak od zavisnosti i mentalno zdravlje. Baza je sadržala audio i video snimke terapijskih sesija, transkripte, psihijatrijske beleške, rezultate testova na droge, pa čak i kopije vozačkih dozvola. Ukupno 5,3 terabajta podataka, odnosno 126 000 fajlova ili 1,7 miliona zapisa, bilo je dostupno bez lozinke.

Kako da se zaštitite

Potpuno izbacivanje ovih aplikacija iz života jeste, naravno, najsigurnija opcija — ali nije i najrealnija. Osim toga, nema garancije da možete zaista obrisati već prikupljene podatke čak i ako izbrišete svoj nalog. Ranije smo pisali o mukotrpnom procesu uklanjanja sopstvenih podataka iz baza posrednika koji trguju podacima; moguće je, ali budite spremni na priličnu glavobolju. Rade Furtula preporučuje:

Photo by Rob Hampson, Unsplash

Prijavite se za Advertiser Serbia Daily Newsletter
Pogledaj vesti o: Android

Nastavak na Advertiser-Serbia.com...