Theo phân tích từ công ty bảo mật di động Oversecured, 10 ứng dụng chăm sóc sức khỏe tâm thần được kiểm tra đã ghi nhận tổng cộng 1.575 lỗ hổng bảo mật. Trong đó có 54 lỗ hổng mức độ nghiêm trọng cao, 538 lỗ hổng mức trung bình và 983 lỗ hổng mức thấp. Các ứng dụng Android này đã đạt tổng cộng 14,7 triệu lượt cài đặt trên Google Play.
Đáng chú ý, một chatbot trị liệu bằng trí tuệ nhân tạo (AI) có tới 23 lỗ hổng nghiêm trọng cao. Một ứng dụng theo dõi tâm trạng và thói quen còn ghi nhận tổng cộng 337 lỗ hổng, nhiều nhất trong số các ứng dụng được kiểm tra.
2 ứng dụng Android bạn nên xóa ngay lập tức đầu năm 2026
Theo Oversecured, các lỗ hổng này có thể bị khai thác để truy cập thông tin cá nhân của người dùng, bao gồm hồ sơ trị liệu, lịch dùng thuốc, nhật ký tâm trạng, các chỉ số liên quan đến hành vi tự gây hại và nhiều dữ liệu nhạy cảm khác.
Một số ứng dụng trong nhóm này thu thập và lưu trữ thông tin được bảo vệ theo chuẩn HIPAA, tức là dữ liệu y tế cá nhân cần được bảo mật chặt chẽ.
Người sáng lập Oversecured, Sergey Toshin, cho biết dữ liệu trị liệu cá nhân có giá trị cao trên các diễn đàn ngầm. Ông cho biết hồ sơ trị liệu có thể được rao bán với giá từ 1.000 USD mỗi hồ sơ, cao hơn nhiều so với dữ liệu thẻ tín dụng. Theo ông, nếu kẻ tấn công khai thác được các lỗ hổng trong quá trình xử lý mã xác thực hoặc dữ liệu phiên, họ có thể chiếm quyền truy cập vào tài khoản và hồ sơ trị liệu của người dùng.
Tất nhiên, rủi ro không chỉ dừng ở việc lộ thông tin. Một số lỗ hổng còn có thể bị lợi dụng để chặn và đánh cắp thông tin đăng nhập, gửi thông báo giả mạo nhằm lừa người dùng cung cấp thêm dữ liệu cá nhân, thậm chí xác định vị trí của họ.
Dù 6 trong số 10 ứng dụng được phân tích cho biết có sử dụng mã hóa để bảo vệ dữ liệu, nhưng các nhà nghiên cứu vẫn phát hiện nhiều vấn đề ở mức trung bình có thể tạo thành rủi ro tổng thể. Điều này cho thấy việc tuyên bố có mã hóa không đồng nghĩa với việc hệ thống sẽ an toàn hơn.
Các chuyên gia khuyến cáo người dùng hạn chế chia sẻ thông tin cá nhân quá chi tiết trên ứng dụng, đặc biệt là các dữ liệu nhận dạng như số định danh cá nhân hoặc thông tin tài chính. Đồng thời, cần cảnh giác với email, tin nhắn hay cuộc gọi yêu cầu cung cấp thêm thông tin liên quan đến tài khoản hoặc hồ sơ y tế.
