多款谷歌应用商店心理健康App曝安全漏洞 超千万用户敏感医疗信息面临泄露风险

最新发现，谷歌应用商店中多款下载量达数百万级的心理健康APP存在安全漏洞，可能导致用户的敏感医疗信息遭到泄露。

安全研究人员在其中一款应用中，发现了超过85个中高危漏洞，攻击者可利用这些漏洞窃取用户的心理咨询数据与隐私信息。

部分涉事应用为AI陪伴类工具，旨在帮助患有临床抑郁症、各类焦虑症、惊恐发作、压力应激及双相情感障碍的人群。在研究人员分析的10款应用中，至少有6款宣称用户对话内容为私密信息，或在服务商服务器上进行安全加密存储。据了解，心理健康数据具有极高的风险价值。在暗网中，心理咨询记录每条售价可达1000美元甚至更高。

累计发现超1500个安全问题

研究人员对十款宣传可辅助解决各类心理健康问题的移动应用进行了扫描，共发现1575个安全漏洞，其中高危漏洞54个、中危漏洞538个、低危漏洞983个。

尽管发现的所有漏洞都不严重，但大量漏洞可被用于窃取登录凭证、伪造通知、执行HTML注入或获取用户位置。

一款下载量超百万的心理咨询类应用，直接对外部可控字符串使用Intent.parseUri()，并在未校验目标组件的情况下启动生成的意图对象，这使得攻击者可强制应用打开任意内部页面，即便该页面本不应对外开放。

由于这些内部页面通常处理认证令牌与会话数据，漏洞被利用后，攻击者可直接获取用户的心理咨询记录。

另一类问题是应用本地数据存储权限不当，设备上的任意应用均可读取，可能暴露心理咨询详情，包括咨询记录、认知行为疗法（CBT）会话笔记及各类评估评分。

研究人员还发现，部分应用的APK资源中包含明文配置信息，如后端API接口地址与硬编码的Firebase数据库链接。此外，部分存在漏洞的应用使用加密安全性不足的java.util.Random类生成会话令牌或加密密钥。

研究人员表示，十款应用中的大多数均未实现任何Root检测机制。在已获取Root权限（越狱）的设备上，任何拥有高权限的应用均可访问本地存储的全部健康数据。

十款应用中仅有六款未发现高危漏洞，但仍存在中危漏洞，导致整体安全防护水平下降。这些应用收集并存储着移动端最敏感的个人数据，包括心理咨询会话转录文本、情绪日志、用药计划、自伤倾向指标，部分信息还受《健康保险流通与责任法案》（HIPAA）保护。

据统计，研究人员扫描的应用总下载量已超过1470万次，其中仅有四款应用在本月进行过更新，其余应用的最近更新时间停留在2025年11月，甚至2024年9月。而扫描时间为1月22日至23日，检测对象为当时最新版本应用。研究人员目前无法确认相关漏洞是否已被修复。

参考及来源：https://www.bleepingcomputer.com/news/security/android-mental-health-apps-with-147m-installs-filled-with-security-flaws/

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关知识

全面揭秘疫情下医疗网络安全风险！超 80% 健康 App 有高危漏洞，暴力攻击单日 80 万次
医疗卫生系统被爆漏洞，7亿公民信息泄露……
成人玩具商被曝安全漏洞上热搜，国内现存超137万家情趣用品相关企业
央视曝光App及小程序隐私问题：13万份体检报告险泄露
全球超120万个医疗系统公网暴露：患者数据或遭窃取
医疗信息泄露的法律风险与预防对策
医疗健康App安全无忧，七星安为保驾护航
医疗APP隐私协议暗藏陷阱 健康隐私信息如何不被恶意窃取
APP实名制来了 过半网友担心信息泄露
因泄露超23.5万患者数据，地方医疗机构赔偿超千万元

网址: 多款谷歌应用商店心理健康App曝安全漏洞 超千万用户敏感医疗信息面临泄露风险 https://www.trfsz.com/newsview1905491.html