на Приложенията за психично здраве са се превърнали в ежедневен спътник За милиони хора те се използват за медитация, проследяване на настроението, разговор с „терапевтичен“ чатбот или дори видео разговори с психолог. Те са в джобовете на тийнейджъри, възрастни и дори пациенти със сложни състояния, от тревожни разстройства до зависимости. Но зад това обещание за благополучие, достъпност и анонимност се крие тъмна страна, за която почти никой не говори открито.
През последните години някои неща излязоха наяве брутални пропуски в сигурността, масивни течове в приложенията в App Store, злоупотреби с данни и непрозрачни практики На този тип платформи, независими проучвания, санкции от власти като Федералната търговска комисия на САЩ и технически одити ясно показват, че значителна част от сектора функционира на нестабилна основа: много маркетинг за „пълна поверителност“ и малко реална защита. Ще разгледаме откритите уязвимости, какъв вид информация е заложена на карта, как се използва с търговска цел и какви критерии можете да следвате, за да избегнете рискуването на емоционалната си поверителност в такава крехка система.
Тревожна картина: хиляди уязвимости в приложения за психично здраве
В скорошен одит, фирмата за киберсигурност Oversecured анализира 10 много популярни приложения за психично здраве за AndroidИнструменти за проследяване на настроението, приложения за подкрепа при депресия и тревожност, терапевтични чатботове, задвижвани от изкуствен интелект, както и терапевтични платформи и общности за подкрепа. Те използваха специализиран скенер на APK файлове, за да открият модели на уязвимост в десетки категории за сигурност.
Резултатът беше опустошителен: Общо 1575 уязвимости, 54 от които критичниВ приложения с общ обем от над 14,7 милиона инсталации в Google Play, говорим за услуги, рекламирани като „сигурни“, „частни“ или „криптирани от край до край“. И все пак, шест от десетте анализирани приложения обещават на потребителите си, че данните са „напълно криптирани и сигурно защитени“, като същевременно натрупват недостатъци във всички области.
Таблицата „Презащитени“, базирана на данни за изтеглянията, показва тревожна картина: Приложения за проследяване на навици и настроение с над 10 милиона инсталации и 337 уязвимостиЧатботове за терапия, задвижвани от изкуствен интелект, с над милион потребители и 255 грешки; платформи за емоционално здраве, ръководени от изкуствен интелект, с над милион изтегляния и 215 проблема със сигурността; и дори военни инструменти за управление на депресия, тревожност или стрес с десетки или стотици открити уязвимости.
Проблемът не е само в количеството, а в контекста: Сблъскваме се с приложения, които съхраняват емоционални дневници, клинични скали, индикатори за самонараняване или информация за лекарства.По този начин всяка техническа грешка се превръща във врата към най-чувствителната поверителност, която човек може да сподели с дигитална услуга.
За да влоши нещата, снимката от поддръжката е мрачна: само Четири от десетте заявления са получили актуализации до февруари 2026 г.Останалите не бяха докосвани от месеци, а едно от тях не беше променяно от септември 2024 г. В мобилната киберсигурност, оставянето на приложение без актуализации в продължение на 12 или 18 месеца на практика го изоставя на произвола на съдбата му срещу нови техники за атака.
Техническата анатомия на повреди: какво се поврежда и как
Ако погледнем „под капака“, уязвимостите, които излязоха наяве, имат общ знаменател: Те позволяват на трети страни да имат достъп до данни, които трябва да бъдат защитени.Конкретният начин да се стигне до там варира, но целта винаги е една и съща: да се наруши поверителността.
Една от най-сериозните открити слабости е разкриването на вътрешни дейности по приложенията, които Те не са били предназначени да бъдат публично достъпниЧрез тези уязвимости, нападателят би могъл да взаимодейства с вътрешни компоненти, да открадне токени за удостоверяване или да заснеме данни от сесия. С тези елементи в ръка, следващата стъпка би била тривиална: достъп до акаунта на потребителя и преглед на записите му за лечение, сякаш телефонът му е отключен.
Друга особено тревожна практика е несигурно локално съхранение на чувствителна информацияВ някои случаи файлове, съдържащи дневници на когнитивно-поведенческа терапия (КПТ), лични бележки или въпросници за настроение, са били запазвани с разрешения за четене, достъпни за всяко друго приложение, инсталирано на устройството. С други думи, фенерчето, калкулаторът или безобидна игра на теория биха могли да четат съдържание, което никога не би трябвало да напуска клинична среда.
Те също бяха открити некриптирани конфигурационни данни в APK файловеКрайни точки на backend API, твърдо кодирани URL адреси на Firebase бази данни, вътрешни параметри… Всичко това улеснява нападателя да се движи в инфраструктурата, да тества инжекции, да сканира открити API или да търси слабо защитени бази данни.
И на всичкото отгоре, няколко приложения използваха класа java.util.Random за генериране на сесийни токени и ключове за криптиранеТози инструмент е известен със своите криптографски недостатъци. С други думи, идентификаторите на сесиите и някои ключове биха могли да бъдат предвидими, което отваря вратата за атаки с груба сила или по-прости имитации.
Липса на Откриване на руутвани или джейлбрейкнати устройства Това беше черешката на тортата: ако потребителят беше направил джейлбрейк на телефона си и злонамерено приложение получи root права, то можеше да преглежда всички локално съхранени медицински данни без ограничения. Без механизми за откриване и блокиране, тези приложения се държат така, сякаш винаги работят в перфектна среда... която не съществува.
Всичко това се случва в глобален контекст, на който вече сме свидетели изключително сложни атаки срещу критични компонентиКакто в случая с XZ Utils през 2024 г., хакер се възползва от прегарянето на водещия разработчик, за да спечели доверието му и да предостави разрешения, опитвайки се да внедри задна вратичка в компонент, използван от повечето Linux системи по света. Въпреки че в крайна сметка беше открит, инцидентът демонстрира до каква степен умората, липсата на ресурси и липсата на систематични прегледи могат да превърнат всеки софтуер, независимо колко е важен, в уязвимост. Нещо подобно се случва и с приложенията за психично здраве: много код, малко контрол и огромна повърхност за атака.
Какви данни обработват тези приложения и защо са толкова ценни?
Когато инсталирате приложение за психично здраве, вие не просто изпращате имейл: Отваряш вратата на компания, която да съхранява емоционалната ти биография.Тези приложения обикновено събират, наред с други данни, преписи от терапевтични сесии, стандартизирани клинични скали, индикатори за самонараняване, информация за лекарства, графици за прием на лекарства, нива на тревожност или депресия във времето и много лични размисли, които потребителят въвежда под формата на дневник.
В много случаи тези клинични данни се комбинират и с много подробна информация за профилаИме и фамилия, адрес, телефонен номер, възраст, сексуална ориентация, семейно положение, професия, потребителски навици или дори точна геолокация. Някои услуги изискват разрешение за достъп до контакти, снимки, видеоклипове или местоположение, дори когато това не е от съществено значение за основната функционалност.
В подземната икономика на данните тези записи са чисто злато. Документирано е как са били предлагани в тъмната мрежа. Пълни медицински досиета за около $1000 на бройкаВъпреки че открадната кредитна карта се продава за между 5 и 30 долара, разликата в цената е логична: медицинските досиета съдържат пълен и практически незаменим пакет за самоличност, полезен за застрахователни измами, кражба на самоличност и социално инженерство.
В допълнение, Медицинските измами са много по-трудни за разкриване отколкото традиционната финансова система. Докато една банка може да блокира подозрително плащане за часове, измамно здравноосигурително искане за фиктивно лечение може да остане неоткрито с години. И най-тревожното е, че не можете просто да „анулирате и преиздадете“ медицинските си досиета, както е възможно с кредитна карта, така че репутационните и практическите щети са дългосрочни.
Успоредно с това съществува легален, но непрозрачен пазар: брокери на данниРазследвания като това, проведено от университета Дюк, показват как брокери на данни са предлагали за продажба пакети, съдържащи информация за психичното здраве на американски граждани: специфични диагнози (депресия, тревожност, биполярно разстройство и др.), демографски променливи и дори имена и адреси. Някои обяви започваха от малко над 275 долара за 5000 обобщени записа – изгодна сделка за всеки, който иска да сегментира кампании или да взема рисковани решения.
Случаи от реалния живот: когато терапевтичната интимност се озовава онлайн или в ръцете на рекламодатели
Проблемите със сигурността и поверителността на тези приложения не са теория или еднократен страх; Вече сме виждали много сериозни инциденти в реалния свят, с психологически, икономически и дори криминални последици.
Един от най-шокиращите случаи се случи през 2020 г. с финландската клиника Вастаамо, специализирана в психотерапия. Киберпрестъпник успя достъп до досиетата на приблизително 33 000 пациентиКогато компанията отказала да плати откуп от 400 000 евро, нападателят започнал директно да изнудва жертвите, като поискал 200 евро в биткойн в замяна да не публикува терапевтичните им бележки. В крайна сметка той публикувал базата данни във форуми на тъмната мрежа. Последиците били опустошителни: поне две самоубийства били свързани с това масово изнудване и клиниката фалирала. Години по-късно извършителят бил осъден на повече от шест години затвор.
В областта на приложенията и онлайн платформите, Федерална търговска комисия на САЩ (FTC) Компанията започна да заема позиция с примерни санкции. През 2023 г. глоби BetterHelp, един от гигантите в онлайн терапията, със 7,8 милиона долара за споделяне на данни с компании като Facebook, Snapchat, Criteo и Pinterest. Тези данни варираха от отговори на въпросници за психично здраве до имейл адреси и IP адреси. Всичко това се случи, докато компанията обеща на страницата си за регистрация, че информацията е „строго поверителна“. Приблизително 800 000 засегнати потребители получиха символично обезщетение от около 10 долара.
Малко след това, през 2024 г., Федералната търговска комисия (FTC) глоби със 7 милиона долара Cerebral, платформа за телездраве която използваше проследяващи пиксели, за да публикува данни от 3,2 милиона пациенти в LinkedIn, Snapchat и TikTok: имена, диагнози, лекарства, прегледи, информация за застраховки… Сякаш това не беше достатъчно, компанията изпрати търговски картички без пликове на около 6000 потребители, като ясно заяви, че те получават психиатрично лечение.
През същата година изследователят Джеремая Фаулър открива отворена база данни Confidant Health без паролаДоставчикът, фокусиран върху зависимостите и психичното здраве, е открил вътре 5,3 терабайта информация: аудио и видео записи на сесии, преписи, клинични бележки, резултати от тестове за наркотици, копия на шофьорски книжки и др. Около 1,7 милиона записа и 126 000 файла са били изложени на риск без минимална защита.
Освен тези течове, доклади като този от фондация Mozilla разкриха тревожни модели на използване на рекламни тракери и продажба на данни в популярни приложения като BetterHelp, Talkspace, Headspace, Youper и Woebot. В техния преглед на 32 приложения за психично здраве и молитва, 28 бяха маркирани с етикета „Поверителност не е включена“: те събираха повече данни от необходимото, изискваха прекомерни разрешения, позволяваха слаби пароли и не показаха ясни доказателства за систематичен процес на актуализации на сигурността.
Миражът на анонимността и „анонимизацията“ на данните
Най-често повтаряното съобщение от отговорните за тези платформи обикновено е нещо подобно: „Никога не споделяме вашите лични данни“Това, което не се подчертава толкова много, е, че те често споделят уж „анонимизирани“ или „псевдонимизирани“ профили и че с настоящите техники възстановяването на лица към тези данни не е точно научна фантастика.
Последните изследвания показват, че езикови модели и усъвършенствани техники за корелация Те позволяват, от деперсонализирани записи, повторното идентифициране на потребителите чрез кръстосано съпоставяне на информация с други бази данни: модели на търсене, местоположения, навици на употреба, малки улики в текстовото съдържание и др. Това, което много компании представят като необратима анонимизация, всъщност може да е тънък воал.
В допълнение към това, Процесът на анонимизация често е лошо проектиранПроучването на фондация Mozilla установи, че през 2023 г. 59% от прегледаните приложения за психично здраве не отговарят на основните стандарти за поверителност, а 40% са се влошили в сравнение с предходната година. Някои политики бяха подозрително кратки, докато други правеха разлика между уебсайта на компанията (където обещаваха защита) и самото приложение (където нивото на детайлност относно проследяването и споделянето на данни беше минимално или несъществуващо).
Много приложения също така интегрират, Механизми за вход с Google, Apple, Facebook и др.Това опростява процеса на въвеждане на потребителя, но също така изгражда мостове между идентичности в различни платформи. Добавете към това и инструменти за проследяване на реклами като Google или Meta и резултатът е рекламен профил, който знае дали използвате приложение за медитация, чатбот за пристъпи на тревожност или следвате програма за рехабилитация от наркозависими.
Тази информация може да се използва за насочване на реклами по време на максимална уязвимостЧудодейни добавки за депресия, съмнителни терапии, скъпи продукти, представени като спешни решения... Самите изследователи на Mozilla предупредиха за риска платформи като Facebook или Google да интегрират честата употреба на приложения за психично здраве в своите целеви групи, допринасяйки за среда, в която бизнесът процъфтява благодарение на емоционалната крехкост.
Реални ползи и ограничения на инструментите за дигитално психично здраве
Би било несправедливо да се каже, че всичко в тази екосистема е негативно. Добре проектирано, одитирано и наблюдавано, Дигиталните инструменти могат да бъдат полезна част от грижите за психичното здраве, особено като допълнение към професионалната грижа присъствено или виртуално.
Можем да различим няколко вида услуги. От една страна, има приложения за уелнес и осъзнатостТези платформи, като например популярните приложения за медитация и управление на стреса, се фокусират върху съня, дишането, осъзнатостта и основната емоционална регулация. Те обикновено са подходящи за възрастни и тийнейджъри, при условие че непълнолетните използват съдържанието под наблюдение. Те не са предназначени за лечение на сериозни състояния, а по-скоро за облекчаване на напрежението, подобряване на съня или въвеждане на здравословни навици.
Ние също имаме Чатботове за психично здраве, задвижвани от изкуствен интелектТези техники, които са ръководени и вдъхновени от когнитивно-поведенческа терапия (КПТ) или подобни подходи, могат да се използват за размисъл върху негативни мисли, записване на емоции или практикуване на упражнения за когнитивно преструктуриране. Те обаче не заместват клиничната преценка или човешката емпатия; всъщност много специалисти съветват подрастващите да ги използват под наблюдението на възрастен.
Друга група се състои от онлайн терапевтични платформиТези услуги свързват потребителите с лицензирани психолози или психиатри за сесии чрез видеообаждане, чат или съобщения. Това е по-близо до традиционните грижи, въпреки че качеството на преживяването варира в зависимост от професионалиста, бизнес модела, времето, налично за сесия, и практиките за защита на данните на доставчика.
Накрая, някои потребители прибягват до универсални инструменти за изкуствен интелект да говорят за проблемите си или да поискат препоръки. Тази употреба е особено деликатна, защото тези системи не са проектирани или валидирани като клинични ресурси, могат да предложат опасни съвети и никога не трябва да заместват консултацията със специалист, особено за непълнолетни без надзор.
Практическите предимства на всички тези ресурси са очевидни: Достъпност във времето и географско отношение, по-ниска цена в някои случаи, чувство за уединение от дома и усвояване на умения (Техники за релаксация, проследяване на настроението, когнитивно-поведенчески упражнения, водене на дневник и др.). Но техните ограничения са ясни: не могат да се справят със сериозни кризи, не винаги разполагат с квалифициран персонал зад гърба си, емоционалната връзка не е същата като при личния контакт и, както видяхме, поверителността и сигурността оставят много да се желае при твърде много продукти.
Джунгла от приложения: оскъдна регулация и ограничени научни доказателства
Бумът на тези инструменти е впечатляващ. Смята се, че само за две години, между 2019 и 2021 г., Пазарът на приложения за психично здраве нарасна с повече от 50%.Пандемията предизвика рязък скок в броя на изтеглянията. Днес се смята, че има повече от 10 000 такива приложения, много от които безплатни или използващи freemium модел.
Проблемът е в това Много малко от тях имат солидни клинични изпитвания, които да подкрепят тяхната ефективност.Много хора разчитат на емоционалния маркетинг и ефекта на новостта, а не на изпитани протоколи. В това отношение европейският проект ECoWeB отбеляза важен етап: той е едно от първите мащабни проучвания, сравняващи различни приложения, предназначени за предотвратяване на депресия при млади хора на възраст от 16 до 22 години от различни страни.
Това проучване сравнява приложение от персонализирана емоционална компетентностТествани са и приложение за самопомощ, базирано на когнитивно-поведенческа терапия (КПТ), и друго за самонаблюдение. Противно на очакванията, интервенцията, фокусирана върху емоционалната компетентност, не демонстрира ясни ползи в сравнение с другите две, докато приложението за КПТ показа предимства при млади хора с по-високи нива на тревожност и негативни самооценки, помагайки за забавяне или смекчаване на появата на депресивни симптоми.
Заключението е нюансирано, но важно: Добре разработени приложения за самопомощ, базирани на принципите на когнитивно-поведенческата терапия (КПТ) и с емпирична основа Те могат да бъдат достъпни и мащабируеми инструменти за обществено психично здраве на младежите, при условие че са интегрирани в по-широк подход и под професионално наблюдение, когато е необходимо.
Обратната страна на тази монета е, че паралелно с това, Има изобилие от приложения, създадени от опортюнисти, които експлоатират нерегулиран пазар.Под прикритието на медицинска строгост, тези приложения могат да изострят симптомите, да забавят достъпа до ефективна терапия или просто да бъдат използвани за събиране на данни за търговски цели. За пореден път, изследване на Mozilla Foundation ясно показа това: от 32 анализирани водещи приложения, 19 не защитават адекватно поверителността и сигурността.
Как да оцените приложение за психично здраве, без да сте технически експерт
В сценарий с хиляди опции и малко гаранции, Научете се да гледате на приложенията с критичен поглед Става почти задължително. Не става въпрос за това да станете параноични, а за прилагане на минимален филтър, преди да предадете емоционалната си интимност на услуга, която не познавате.
Първото позоваване е официални модели на акредитация които съществуват в някои региони. В Каталуния например, Fundació TIC Salut Social има система за акредитация на здравни приложения, която оценява аспекти на използваемостта, достъпността, технологиите, сигурността, функционалността и качеството на съдържанието. Въпреки че броят на акредитираните приложения годишно е много малък в сравнение с огромния брой, налични в магазините за приложения, те служат като пример за критериите, които трябва да бъдат преразгледани.
В техническия раздел е важно да се провери дали приложението е разпространявано Предлага се чрез официални магазини, инсталира се и деинсталира гладко и е стабилен. Освен това се справя добре с промените в контекста (например, ако се получи обаждане, информацията не се губи). По отношение на дизайна, той трябва да бъде интуитивен, с четлив текст и ясно разпознаваеми елементи, както и да е съобразен с достъпността за хора с увреждания.
В сигурността, ключът е, че има ясна, лесна за намиране и разбираема политика за защита на даннитеТрябва да се обясни какви данни се събират, с каква цел, кой ги обработва, колко дълго се съхраняват и с кого се споделят. Разрешенията, които приложението изисква (GPS, контакти, камера, микрофон и др.), трябва да бъдат обосновани от функционалността, която предлага; ако приложение за емоционално дневник изисква точна геолокация или достъп до снимки без видима причина, това е червен флаг.
Що се отнася до функционалността и съдържанието, заслужава да се отбележи дали приложението В него се посочва кой е собственикът му, кой го финансира, какви научни източници използва и кога е актуализиран за последен път. За последен път. Реномираният инструмент трябва да предлага методи за контакт, потребителска поддръжка и информация за потенциални рискове или ограничения при употреба (например, че не е предназначен за справяне със суицидни кризи).
За специалистите по психично здраве Американската психиатрична асоциация предлага модел за самооценка на приложението с ключови въпроси, от които напредналите потребители също могат да се възползват: на кои платформи работи?, актуализиран ли е през последните 180 дни?, има ли достъпна политика за поверителност?, събира ли чувствителни данни и твърди ли, че ги защитава адекватно?, има ли проучвания, потребителски отзиви или академични институции, които подкрепят неговата полезност?, лесен ли е за използване?, данните, които генерира, разбираеми ли са и могат ли да бъдат споделяни сигурно, например с терапевт?
Практични стратегии за минимизиране на рисковете при използване на приложения за психично здраве
Въпреки че най-безопасният вариант от гледна точка на поверителността би бил не използвайте никакви приложения и се ограничете до традиционните професионални грижиТова просто не е реалистично за много хора. Освен това, дори ако изтриете приложение, не винаги можете да изтриете данните, които вече са били прехвърлени към системи на трети страни или посредници на данни. Затова е по-разумно да се възприеме среден подход: използвайте тези инструменти отговорно и с определени предпазни мерки.
Преди инсталирането е задължително Прегледайте разрешенията в подробностите за приложението. (В Android, в раздела „Относно това приложение → Разрешения“). Услугата за проследяване на настроението не се нуждае от точното ви GPS местоположение, достъп до камерата ви „за всеки случай“ или целия ви списък с контакти. Ако поиска повече от разумното, фирмата може да търси другаде.
Прекарайте няколко минути на прочетете (или поне прегледайте) политиката за поверителност Това също има значение. Можете да копирате текста и да помолите изкуствен интелект да обобщи ключовите моменти: дали данните се споделят с трети страни, дали можете да поискате изтриване на историята си, дали политиката се отнася само за уебсайта или и за приложението, дали се споменава използването на рекламни тракери и т.н.
Друг прост трик е да погледнете дата на последно обновяванеАко дадено приложение не е било променяно повече от шест месеца, е много вероятно то да натрупа непоправени уязвимости. В анализа на Oversecured повече от половината приложения са били замразени в продължение на месеци, въпреки че са обработвали изключително чувствителна информация.
Можете да го направите на собствения си мобилен телефон ограничете всичко, което не е абсолютно необходимо В настройките за поверителност: проследяване на реклами, разрешения за работа във фонов режим, достъп до сензори. Когато дадено приложение ви каже, че трябва да активирате определено проследяване, „за да подобри изживяването“ или „за целите на вътрешна оптимизация“, бъдете внимателни: това почти винаги е учтив начин да се каже „за да извлечете максимума от данните си“.
Препоръчително е също така да се избягва, доколкото е възможно, влизания с Google, Apple, Facebook или подобни акаунтиДа, те са удобни, но улесняват създаването на междусервизни идентификатори. Ако платформата го позволява, е за предпочитане да се използва конкретен имейл адрес и силна парола, в идеалния случай управлявана с мениджър на пароли.
И може би най-важният съвет: Мислете за всичко, което пишете в тези приложения, сякаш един ден може да стане публично достояние.Не става въпрос за това да ви плашим, а за това да бъдем реалисти относно остатъчния риск. Ако има подробности, които не бихте толерирали да бъдат публикувани с вашето име, може би е най-добре да ги споделяте само в строго контролирани контексти (като например лична или телемедицинска консултация с професионалист), а не в приложение за масовия пазар със стотици потенциални уязвимости.
По подобен начин, ако сте родител или настойник, е важно да обърнете специално внимание на това как използват [информацията/видеоклиповете/и др.]. тийнейджърите използват тези инструментиНеобходимостта от незабавно потвърждение, излагането на ненадеждни съвети и лесният достъп до чувствително съдържание правят тази група особено уязвима. Изключително важно е да им се окаже подкрепа при избора на приложения, да се прегледат разрешенията и правилата заедно и да се изясни, че ако получат признаци на влошаване на симптомите или суицидни мисли, първата стъпка винаги трябва да бъде да се свържат с професионалист или спешни служби, а не с чатбот.
Взети заедно, екосистемата от приложения за психично здраве е експлозивна смесица от възможности, добри намерения, технически недостатъци и търговска експлоатация на уязвимостСъществуват ценни инструменти, особено такива, базирани на научно обоснована когнитивно-поведенческа терапия (КПТ) и стабилни рамки за сигурност, но те са заобиколени от посредствени или направо опасни продукти от гледна точка на поверителността. Разграничаването между тях изисква известни усилия, известна степен на скептицизъм и най-вече помнене, че емоционалната ви интимност не е просто поредното количество данни, което може да се рециклира безнаказано на дигиталния пазар.
