Beberapa aplikasi seluler kesehatan mental dengan jutaan unduhan di Google Play mengandung kerentanan keamanan yang dapat mengungkap informasi medis sensitif pengguna.
Di salah satu aplikasi, peneliti keamanan menemukan lebih dari 85 kerentanan tingkat keparahan sedang dan tinggi yang dapat dieksploitasi untuk membahayakan data terapi dan privasi pengguna.
Beberapa produk tersebut merupakan pendamping AI yang dirancang untuk membantu orang yang menderita depresi klinis, berbagai bentuk kecemasan, serangan panik, stres, dan gangguan bipolar.
Setidaknya enam dari sepuluh aplikasi yang dianalisis menyatakan bahwa percakapan atau obrolan pengguna tetap bersifat pribadi, atau dienkripsi dengan aman di server vendor.
“Data kesehatan mental membawa risiko unik. Di web gelap, catatan terapi dijual dengan harga $1.000 atau lebih per catatan, jauh lebih mahal daripada nomor kartu kredit,” kata Sergey Toshin, pendiri perusahaan keamanan seluler Oversecured.
Lebih dari 1.500 masalah keamanan ditemukan
Oversecured memindai sepuluh aplikasi seluler yang diiklankan sebagai alat yang dapat membantu mengatasi berbagai masalah kesehatan mental, dan menemukan total 1.575 kerentanan keamanan (54 berperingkat tingkat keparahan tinggi, 538 tingkat keparahan sedang, dan 983 tingkat keparahan rendah).
| Jenis Aplikasi | Pemasangan | Tinggi | Sedang | Rendah | Total | Tanggal pemindaian | |
| 01 | Pelacak suasana hati & kebiasaan | 10 juta+ | 1 | 147 | 189 | 337 | 23/01/2026 |
| 02 | Chatbot terapi AI | 1 juta+ | 23 | 63 | 169 | 255 | 22/01/2026 |
| 03 | Platform kesehatan emosional AI | 1 juta+ | 13 | 124 | 78 | 215 | 23/01/2026 |
| 04 | Pelacak kesehatan & gejala | 500rb+ | 7 | 31 | 173 | 211 | 22/01/2026 |
| 05 | Alat manajemen depresi | 100rb+ | – | 66 | 91 | 157 | 23/01/2026 |
| 06 | Aplikasi kecemasan berbasis CBT | 500rb+ | 3 | 45 | 62 | 110 | 22/01/2026 |
| 07 | Terapi online & komunitas dukungan | 1 juta+ | 7 | 20 | 71 | 98 | 23/01/2026 |
| 08 | Kecemasan & fobia swadaya | 50rb+ | – | 15 | 54 | 69 | 22/01/2026 |
| 09 | Manajemen stres militer | 50rb+ | – | 12 | 50 | 62 | 22/01/2026 |
| 10 | Obrolan AI CBT | 500rb+ | – | 15 | 46 | 61 | 23/01/2026 |
Meskipun tidak ada masalah yang ditemukan yang bersifat kritis, banyak masalah yang dapat dimanfaatkan untuk mencegat kredensial login, pemberitahuan spoof, injeksi HTML, atau untuk menemukan lokasi pengguna.
Para peneliti menggunakan pemindai Oversecured untuk memeriksa file APK dari sepuluh aplikasi kesehatan mental untuk mengetahui pola kerentanan yang diketahui dalam lusinan kategori.
Dalam laporan yang dibagikan kepada BleepingComputer, para peneliti mengatakan bahwa beberapa aplikasi terverifikasi “mengurai URI yang disediakan pengguna tanpa validasi yang memadai.”
Satu aplikasi terapi dengan lebih dari satu juta unduhan digunakan Maksud.parseUri() pada string yang dikontrol secara eksternal dan meluncurkan objek pesan yang dihasilkan (niat) tanpa memvalidasi komponen target.
Hal ini memungkinkan penyerang memaksa aplikasi membuka aktivitas internal apa pun, meskipun aktivitas tersebut tidak dimaksudkan untuk akses eksternal.
“Karena aktivitas internal ini sering kali menangani token autentikasi dan data sesi, eksploitasi dapat memberikan penyerang akses ke catatan terapi pengguna,” jelas Oversecured.
Masalah lainnya adalah menyimpan data secara lokal dengan cara yang memberikan akses baca ke aplikasi apa pun di perangkat. Tergantung pada informasi yang disimpan, hal ini dapat mengungkap rincian terapi, seperti entri terapi, catatan sesi Terapi Perilaku Kognitif (CBT), dan berbagai skor.
Oversecured menyatakan bahwa mereka juga menemukan data konfigurasi teks biasa, termasuk titik akhir API backend dan URL database Firebase yang dikodekan secara hardcode, dalam sumber daya APK.
Selain itu, beberapa aplikasi yang rentan menggunakan kriptografi yang tidak aman java.util.Acak kelas untuk menghasilkan token sesi atau kunci enkripsi.
Menurut para peneliti, “sebagian besar dari 10 aplikasi tidak memiliki deteksi root apa pun.” Pada perangkat yang di-root (di-jailbreak), aplikasi apa pun dengan hak akses root memiliki akses ke semua data kesehatan yang disimpan secara lokal.
Oversecured mengatakan bahwa enam dari sepuluh aplikasi yang dianalisis “tidak memiliki temuan dengan tingkat keparahan tinggi, namun masih membawa masalah dengan tingkat keparahan sedang yang melemahkan postur keamanan aplikasi secara keseluruhan.”
“Aplikasi ini mengumpulkan dan menyimpan beberapa data pribadi paling sensitif di ponsel: transkrip sesi terapi, catatan suasana hati, jadwal pengobatan, indikator tindakan menyakiti diri sendiri, dan dalam beberapa kasus, informasi yang dilindungi HIPAA,” catat para peneliti.
Dari pengamatan BleepingComputer, jumlah unduhan kolektif untuk aplikasi yang dipindai oleh Oversecured lebih dari 14,7 juta, dan hanya empat yang menerima pembaruan pada bulan ini. Selebihnya, tanggal update terbaru adalah November 2025 atau bahkan September 2024.
Pemindaian Oversecured terjadi antara tanggal 22 dan 23 Januari dan menargetkan versi aplikasi terbaru yang tersedia pada saat itu. Para peneliti tidak dapat memastikan apakah kerentanan yang ditemukan telah diatasi.
BleepingComputer menahan diri untuk tidak membagikan nama aplikasi yang terkena dampak karena kerentanannya masih diungkapkan oleh Oversecured.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
