آخرین اخبار
صفحه اصلی
اخبار

افشای ۱۵۰۰ آسیب‌پذیری در اپ‌های سلامت روان؛ داده‌های درمانی میلیون‌ها کاربر در خطر

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
101 نمایش ها

کمیته رکن چهارم – پژوهشگران امنیت سایبری از کشف مجموعه‌ای گسترده از آسیب‌پذیری‌های امنیتی در اپلیکیشن‌های سلامت روان اندروید خبر داده‌اند؛ برنامه‌هایی که در مجموع بیش از ۱۴.۷ میلیون بار از Google Play دانلود شده‌اند و اطلاعات بسیار حساس کاربران را ذخیره می‌کنند.

به گزارش کمیته رکن چهارم، شرکت امنیت موبایل Oversecured در بررسی ۱۰ اپلیکیشن فعال در حوزه درمان اضطراب، افسردگی، اختلال دوقطبی و «همراهان هوش مصنوعی سلامت روان»، در مجموع ۱٬۵۷۵ ضعف امنیتی شناسایی کرده است؛ شامل ۵۴ مورد با شدت بالا و ۵۳۸ مورد با شدت متوسط.

در یکی از این اپلیکیشن‌ها به‌تنهایی بیش از ۸۵ آسیب‌پذیری متوسط و بالا کشف شده که می‌تواند دسترسی غیرمجاز به سوابق درمانی و داده‌های خصوصی کاربران را ممکن کند.

سرگئی توشین، بنیان‌گذار Oversecured، هشدار داده است که سوابق درمانی در بازارهای زیرزمینی با قیمتی تا ۱۰۰۰ دلار برای هر پرونده معامله می‌شوند؛ رقمی به‌مراتب بالاتر از اطلاعات کارت اعتباری.

مهم‌ترین ضعف‌های شناسایی‌شده

تحلیل فایل‌های APK این اپ‌ها نشان داده برخی برنامه‌ها:

URIهای ورودی را بدون اعتبارسنجی کافی پردازش می‌کنند و امکان دسترسی به فعالیت‌های داخلی حساس را فراهم می‌کنند

داده‌های درمانی مانند یادداشت‌های جلسات، ورودی‌های CBT و ارزیابی‌های روان‌شناختی را به‌صورت ناامن در حافظه محلی ذخیره می‌کنند

اطلاعات پیکربندی مانند آدرس API یا Firebase را به‌صورت متن ساده (plaintext) در کد قرار داده‌اند

برای تولید توکن یا کلید از java.util.Random ناامن استفاده می‌کنند

فاقد مکانیزم تشخیص Root هستند، که در دستگاه‌های روت‌شده امکان دسترسی کامل به داده‌ها را فراهم می‌کند

اگرچه هیچ‌یک از این ضعف‌ها «بحرانی» طبقه‌بندی نشده‌اند، اما ترکیب آن‌ها می‌تواند منجر به نقض حریم خصوصی، سرقت داده پزشکی و رهگیری اطلاعات ورود کاربران شود.

نگرانی جدی درباره حریم خصوصی

بسیاری از این اپلیکیشن‌ها ادعا می‌کنند چت‌ها و مکالمات کاربران خصوصی و رمزگذاری‌شده باقی می‌ماند. با این حال، وجود چنین ضعف‌هایی نشان می‌دهد امنیت سمت کلاینت و مدیریت داده‌ها در برخی موارد به‌درستی پیاده‌سازی نشده است.

این برنامه‌ها داده‌هایی مانند متن جلسات درمان، گزارش‌های خلق‌وخو، برنامه مصرف دارو و حتی شاخص‌های خودآزاری را ذخیره می‌کنند؛ اطلاعاتی که در برخی کشورها تحت قوانین سخت‌گیرانه حفاظت پزشکی قرار دارند.

وضعیت فعلی

اسکن‌ها در ژانویه ۲۰۲۶ انجام شده و هنوز مشخص نیست آیا تمام آسیب‌پذیری‌ها برطرف شده‌اند یا خیر. نام اپلیکیشن‌ها به دلیل ادامه فرآیند افشای مسئولانه منتشر نشده است.

این گزارش بار دیگر اهمیت امنیت اپلیکیشن‌های سلامت، امنیت داده پزشکی و حفاظت از حریم خصوصی کاربران در Google Play را برجسته می‌کند؛ به‌ویژه در حوزه‌ای که کاربران آسیب‌پذیرترین و شخصی‌ترین اطلاعات خود را در اختیار نرم‌افزارها قرار می‌دهند.

منبع: bleepingcomputer

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.