نقص‌های امنیتی در برنامه‌های سلامت روان اندروید

به گزارش کارگروه امنیت سایبربان؛ چندین برنامه تلفن همراه سلامت روان با میلیون‌ها دانلود در گوگل‌پلی، حاوی آسیب‌پذیری‌های امنیتی هستند که می‌توانند اطلاعات پزشکی حساس کاربران را افشا کنند.

در یکی از این برنامه‌ها، محققان امنیتی بیش از ۸۵ آسیب‌پذیری با شدت متوسط و بالا را کشف کردند که می‌توانند برای به خطر انداختن داده‌های درمانی و حریم خصوصی کاربران مورد سوءاستفاده قرار گیرند.

برخی از این محصولات، همراهان هوش مصنوعی هستند که برای کمک به افراد مبتلا به افسردگی بالینی، اشکال مختلف اضطراب، حملات پانیک، استرس و اختلال دوقطبی طراحی شده‌اند.

حداقل 6 مورد از 10 برنامه مورد تجزیه و تحلیل، بیان کردند که مکالمات یا چت‌های کاربر خصوصی باقی می‌مانند یا به طور ایمن در سرورهای فروشنده رمزگذاری می‌شوند.

سرگی توشین (Sergey Toshin)، بنیانگذار شرکت امنیت موبایل «Oversecured»، گفت:

«داده‌های سلامت روان خطرات منحصر به فردی را به همراه دارند. در وب تاریک، سوابق درمانی به قیمت ۱۰۰۰ دلار یا بیشتر برای هر رکورد به فروش می‌رسند که بسیار بیشتر از شماره کارت‌های اعتباری است.»

کشف بیش از ۱۵۰۰ مشکل امنیتی

Oversecured ده برنامه تلفن همراه را که به عنوان ابزاری برای کمک به مشکلات مختلف سلامت روان تبلیغ می‌شدند، اسکن و در مجموع ۱۵۷۵ آسیب‌پذیری امنیتی، ۵۴ مورد با شدت بالا، ۵۳۸ مورد با شدت متوسط و ۹۸۳ مورد با شدت پایین، را کشف کرد.

اگرچه هیچ یک از مشکلات کشف شده بحرانی نیستند، اما بسیاری از آنها می‌توانند برای رهگیری اعتبارنامه‌های ورود به سیستم، جعل اعلان‌ها، تزریق HTML یا یافتن کاربر مورد استفاده قرار گیرند.

محققان از اسکنر Oversecured برای بررسی فایل‌های APK ده برنامه سلامت روان برای الگوهای آسیب‌پذیری شناخته شده در ده‌ها دسته استفاده کردند.

محققان در گزارشی اظهار داشتند که برخی برنامه‌های تأیید شده URIهای ارائه شده توسط کاربر را بدون اعتبارسنجی کافی تجزیه می‌کنند.

یک برنامه درمانی با بیش از یک میلیون دانلود از «Intent.parseUri» روی یک رشته کنترل شده خارجی استفاده و شیء پیام‌رسانی حاصل (intent) را بدون اعتبارسنجی مؤلفه هدف راه‌اندازی می‌کند.

این امر به مهاجم اجازه می‌دهد تا برنامه را مجبور به باز کردن هرگونه فعالیت داخلی کند، حتی اگر برای دسترسی خارجی در نظر گرفته نشده باشد.

شرکت Oversecured توضیح داد:

«از آنجایی که فعالیت‌های داخلی اغلب توکن‌های احراز هویت و داده‌های جلسه را مدیریت می‌کنند، سوءاستفاده می‌تواند به مهاجم دسترسی به سوابق درمانی کاربر را بدهد.»

مشکل دیگر، ذخیره داده‌ها به صورت محلی به گونه‌ای است که دسترسی خواندن به هر برنامه‌ای روی دستگاه را فراهم می‌کند. بسته به اطلاعات ذخیره شده، این امر می‌تواند جزئیات درمانی مانند ورودی‌های درمانی، یادداشت‌های جلسه درمان شناختی رفتاری (CBT) و نمرات مختلف را افشا کند.

شرکت Oversecured اظهار داشت که آنها همچنین داده‌های پیکربندی متن ساده، از جمله نقاط پایانی API بک‌اند و یک URL پایگاه داده Firebase کدگذاری شده را در منابع APK کشف کرده‌اند.

علاوه بر این، برخی برنامه‌های آسیب‌پذیر از کلاس «java.util.Random» که از نظر رمزنگاری ناامن است، برای تولید توکن‌های جلسه یا کلیدهای رمزگذاری استفاده می‌کنند.

به گفته محققان، بیشتر 10 برنامه فاقد هرگونه تشخیص ریشه هستند؛ در یک دستگاه روت شده، هر برنامه‌ای با امتیازات ریشه به تمام داده‌های بهداشتی ذخیره شده به صورت محلی دسترسی دارد.

Oversecured گفت که 6 مورد از 10 برنامه‌ی مورد بررسی هیچ یافته‌ی با شدت بالا نداشتند، اما همچنان دارای مشکلات با شدت متوسط بودند که وضعیت امنیتی کلی آنها را تضعیف می‌کند.

محققان خاطرنشان کردند:

«این برنامه‌ها برخی از حساس‌ترین داده‌های شخصی را در تلفن همراه جمع‌آوری و ذخیره می‌کنند: رونوشت‌های جلسات درمانی، گزارش‌های خلق و خو، برنامه‌های دارویی، شاخص‌های خودآزاری و در برخی موارد، اطلاعات محافظت‌شده طبق قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA).»

به گفته کارشناسان، تعداد دانلودهای جمعی برنامه‌های اسکن‌شده توسط Oversecured بیش از ۱۴.۷ میلیون است و تنها 4 مورد از آنها اخیراً در این ماه به‌روزرسانی دریافت کرده‌اند. در مورد بقیه، تاریخ آخرین به‌روزرسانی به نوامبر ۲۰۲۵ یا حتی سپتامبر ۲۰۲۴ برمی‌گردد.

اسکن‌های Oversecured بین ۲۲ و ۲۳ ژانویه انجام شده در سال جاری و آخرین نسخه‌های برنامه‌ی موجود در آن زمان را هدف قرار داده‌اند. محققان نمی‌توانند تأیید کنند که آیا هیچ یک از آسیب‌پذیری‌های کشف‌شده برطرف شده‌اند یا خیر.