心理健康App曝上千漏洞，治療紀錄恐成高價黑市資料

專注於行動應用程式安全的德國資安公司Oversecured上周指出，多款心理健康App存在安全漏洞。該公司表示，心理治療紀錄在暗網上的售價可達每筆1,000美元以上，價值甚至高於一般信用卡資料，顯示此類敏感資訊可能成為駭客覬覦的目標。

由於相關漏洞尚未修補，Oversecured並未揭露受影響App名稱，僅指出其累計下載量達數千萬次。其中一款擁有數百萬名用戶，並在同儕審查臨床研究中被評為高參與度AI治療方案；有些獲得美國FDA突破性醫療器材認定、用於治療憂鬱症；有些已納入歐洲公共醫療體系並服務數十萬患者；另有部分產品曾獲研究機構資助並完成臨床試驗；亦有產品獲得知名科技投資人與創投注資，或被大型企業與政府醫療機構採用。

資安媒體BleepingComputer則報導，Oversecured總計掃描10款Android心理健康App，其合計下載量超過1,470萬次，共發現1,575項安全漏洞，包括54項高風險、538項中風險與983項低風險問題。這些數字為漏洞實例總數，可能包含同類型問題在不同程式元件中重複出現的情況。此外，在這10款App中，有6款未出現高風險漏洞。

BleepingComputer亦揭露，漏洞類型涵蓋Intent濫用、本地儲存資料未妥善保護、明文API與Firebase資料庫URL、使用不安全的java.util.Random產生Token、缺乏root偵測機制，以及可能被用於攔截登入憑證或偽造通知等問題。

至於Oversecured則強調Intent遭濫用的風險。在Android系統中，Intent為應用程式之間傳遞訊息與啟動功能的核心機制。若未妥善驗證來源或限制元件存取權限，可能導致內部功能被強制開啟，甚至存取治療紀錄等敏感資料。

市場估計，心理健康App市場在2025年的規模已達100至120億美元。當高度敏感的治療資料大量數位化後，行動端權限控管與資料保護設計的重要性亦隨之提升。