Trong bối cảnh các vấn đề sức khỏe tâm thần ngày càng được quan tâm, nhiều trường hợp được khuyến nghị sử dụng ứng dụng hỗ trợ tinh thần như một công cụ bổ trợ cho quá trình điều trị.
Tuy nhiên, cùng với sự tiện lợi đó là những rủi ro bảo mật đáng lo ngại. Một số ứng dụng sở hữu hàng triệu lượt tải trên Google Play Store được phát hiện tồn tại các lỗ hổng có khả năng làm rò rỉ thông tin y tế nhạy cảm của người dùng.
Các nhà nghiên cứu đã chỉ ra rằng có một ứng dụng chứa số lượng điểm yếu bảo mật ở mức đáng báo động với hơn 85 lỗ hổng thuộc mức trung bình và nghiêm trọng cao.
Những ứng dụng này vốn được thiết kế để hỗ trợ người mắc trầm cảm lâm sàng, rối loạn lo âu, rối loạn lưỡng cực, căng thẳng hoặc các cơn hoảng loạn, bao gồm cả các nền tảng tích hợp trí tuệ nhân tạo để tư vấn và theo dõi tâm trạng.
Chính các công cụ lưu trữ chương trình trị liệu, lịch sử dùng thuốc và nhiều dữ liệu cá nhân khác lại có thể trở thành mục tiêu tấn công. Khi tồn tại lỗ hổng, kẻ xấu có thể khai thác để xâm nhập hệ thống, từ đó truy cập vào thông tin trị liệu riêng tư của người dùng Android.
Mặc dù phần lớn các ứng dụng được phân tích khẳng định có áp dụng cơ chế mã hóa nhằm bảo vệ dữ liệu, thực tế kiểm tra cho thấy việc triển khai bảo mật chưa đủ chặt chẽ để ngăn chặn hoàn toàn nguy cơ bị khai thác.
Công ty bảo mật di động Oversecured sau khi quét 10 ứng dụng đã phát hiện tổng cộng 1.575 lỗ hổng, trong đó có 54 lỗi ở mức nghiêm trọng cao, 538 lỗi mức trung bình và 983 lỗi mức thấp.
Nhà sáng lập Oversecured, Sergey Toshin, cho biết dữ liệu bệnh nhân bị đánh cắp thường được rao bán trên các diễn đàn ngầm với mức giá từ 1.000 USD cho mỗi hồ sơ, cao hơn đáng kể so với thông tin thẻ tín dụng.
Đại diện công ty cũng lưu ý rằng do các hệ thống này xử lý token xác thực và dữ liệu phiên đăng nhập, việc khai thác lỗ hổng có thể giúp kẻ tấn công truy cập trực tiếp vào hồ sơ trị liệu của người dùng.
Tổng số lượt cài đặt của các ứng dụng nói trên đạt khoảng 14,7 triệu lượt từ Google Play Store, cho thấy quy mô ảnh hưởng không hề nhỏ. Trong số đó, một chatbot trị liệu AI ghi nhận nhiều lỗ hổng nghiêm trọng cao nhất với 23 lỗi, trong khi một ứng dụng theo dõi tâm trạng và thói quen lại đứng đầu về tổng số lỗ hổng với 337 lỗi được phát hiện.
Các điểm yếu bảo mật này có thể bị lợi dụng để chặn và đánh cắp thông tin đăng nhập, gửi thông báo giả mạo nhằm lừa người dùng cung cấp thêm dữ liệu, thậm chí xác định vị trí thiết bị.
Dù 6 trong 10 ứng dụng không có lỗ hổng ở mức nghiêm trọng cao, số lượng lỗi trung bình vẫn đủ để tạo thành rủi ro đáng kể về tổng thể. Quá trình phân tích cho thấy các nền tảng này thu thập và lưu trữ nhiều loại thông tin đặc biệt nhạy cảm như nội dung ghi chép các buổi trị liệu, lịch dùng thuốc, nhật ký tâm trạng, dấu hiệu tự gây hại và các dữ liệu thuộc diện được bảo vệ theo Health Insurance Portability and Accountability Act (HIPAA).
Trước thực tế đó, việc sử dụng ứng dụng hỗ trợ sức khỏe tâm thần cần đi kèm với sự thận trọng trong chia sẻ thông tin cá nhân. Những yêu cầu cung cấp dữ liệu nhạy cảm qua tin nhắn, email hoặc cuộc gọi, đặc biệt là các thông tin như số an sinh xã hội hay dữ liệu liên quan đến ứng dụng tài chính đều tiềm ẩn nguy cơ lừa đảo và cần được cảnh giác để hạn chế tối đa rủi ro rò rỉ thông tin.
