Aplikacije za mentalno zdravlje: podrška, ali po kojoj ceni

U februaru 2026. godine kompanija za sajber-bezbednost Oversecured objavila je izveštaj nakon što su njeni istraživači izvršili reviziju 10 popularnih Android aplikacija za mentalno zdravlje — od aplikacija za praćenje raspoloženja i AI terapeuta do alata za upravljanje depresijom i anksioznošću — i otkrili čak 1575 ranjivosti! Pedeset četiri takva propusta klasifikovana su kao kritična, iako je čak šest od deset testiranih aplikacija izričito obećavalo korisnicima da su njihovi podaci „u potpunosti šifrovani i bezbedno zaštićeni“. Sudeći prema statistikama preuzimanja na Google Play-u, to znači da bi čak 15 miliona ljudi moglo bi biti pogođeno.

Šta je pronađeno u aplikacijama

Oversecured je kompanija za bezbednost mobilnih aplikacija koja koristi specijalizovani skener za analizu APK fajlova u potrazi za poznatim obrascima ranjivosti u desetinama kategorija. Analiziranih deset aplikacija za praćenje mentalnog zdravlja sa Google Play-a ostvarilo je sledeće rezultate.

Anatomija propusta

Otkrivene ranjivosti su raznovrsne, ali se sve svode na jedno: omogućavanje napadačima da pristupaju podacima koji bi trebalo da budu strogo zaštićeni.

Jedna od ranjivosti omogućava napadaču pristup bilo kojoj internoj aktivnosti aplikacije — čak i onoj koja nikada nije bila namenjena spoljnim korisnicima. „To otvara vrata preuzimanju autentifikacionih tokena i podataka o korisničkim sesijama. Kada napadač dođe do tih podataka, praktično može dobiti pristup terapijskim zapisima korisnika“ kaže Rade Furtula, presales menadžer kompanije Kaspersky za Zapadni Balkan, komentarišući rezultate ovog istraživanja.

Drugi problem je nebezbedno lokalno skladištenje podataka sa dozvolama za čitanje koje su dodeljene bilo kojoj drugoj aplikaciji na uređaju. „Drugim rečima, neka nasumična aplikacija za baterijsku lampu ili kalkulator na vašem telefonu mogla bi potencijalno da čita vaše zapise kognitivno-bihejvioralne terapije (CBT), lične beleške i procene raspoloženja“ dodaje Furtula.

Istraživači su takođe pronašli nešifrovane konfiguracione podatke direktno u APK instalacionim fajlovima. To je uključivalo backend API adrese i hardkodirane URL-ove za Firebase baze podataka. Pored toga, nekoliko aplikacija koristilo je kriptografski slabu klasu java.util.Random za generisanje tokena sesije i ključeva za šifrovanje. Na kraju, većina testiranih aplikacija nije imala detekciju root/jailbreak uređaja. Na rootovanom uređaju svaka aplikacija treće strane sa root privilegijama može dobiti potpun pristup svim lokalno sačuvanim medicinskim podacima.

Od 10 analiziranih aplikacija samo četiri dobile ažuriranja u februaru 2026. Ostale nisu dobile zakrpu još od novembra 2025, a jedna nije ažurirana od septembra 2024. „Proći 18 meseci bez bezbednosne zakrpe u ovoj industriji je čitava večnost — posebno za aplikaciju koja čuva dnevnike raspoloženja, transkripte terapija i rasporede uzimanja lekova“ kaže Furtula.

Šta bi moglo da procuri?

Šta ove aplikacije prikupljaju i čuvaju? Reč je o informacijama koje biste verovatno podelili samo sa pouzdanim stručnjakom: transkripti terapijskih sesija, dnevnici raspoloženja, rasporedi uzimanja lekova, indikatori samopovređivanja, CBT beleške i različite kliničke skale procene.

Još 2021. godine kompletni medicinski dosijei prodavali su se na dark web-u za 1000 američkih dolara po zapisu. Poređenja radi, ukradeni broj kreditne kartice prodaje se za između 5 i 30 dolara. Medicinski dosije sadrži potpun paket identiteta: ime, adresu, podatke o osiguranju i istoriju dijagnoza. Za razliku od kreditne kartice, medicinsku istoriju ne možete jednostavno „ponovo izdati“. Pored toga, medicinske prevare je notorno teško otkriti. Dok banka može označiti sumnjivu transakciju za nekoliko sati, lažni zahtev za osiguranje za nepostojeći tretman može proći neprimećeno godinama.

Ovaj film smo već gledali

Studija kompanije Oversecured nije izolovana horor-priča. Još 2020. Julius Kivimäki je hakovao bazu podataka finske psihoterapijske klinike Vastaamo i ukrao zapise 33 000 pacijenata. Kada je klinika odbila da plati otkupninu od 400 000 evra, Kivimäki je počeo da šalje direktne pretnje pacijentima: „Platite 200 evra u Bitcoinu u roku od 24 sata, ili će vaši zapisi postati javni“. Na kraju je ionako objavio celu bazu podataka na dark web-u. Najmanje dve osobe izvršile su samoubistvo, a klinika je bila primorana da proglasi bankrot. Kivimäki je na kraju osuđen na šest godina i tri meseca zatvora, u suđenju koje je u Finskoj postavilo rekord po broju uključenih žrtava.

Godine 2023. američka Federalna trgovinska komisija (FTC) kaznila je giganta online terapije BetterHelp sa 7,8 miliona dolara. Iako su na stranici za registraciju navodili da su podaci korisnika strogo poverljivi, kompanija je uhvaćena kako prosleđuje informacije o korisnicima — uključujući odgovore na upitnike o mentalnom zdravlju, email adrese i IP adrese — kompanijama Facebook, Snapchat, Criteo i Pinterest radi ciljanog oglašavanja. Kada se sve završilo, 800 000 pogođenih korisnika dobilo je ukupno po 10 dolara odštete.

U septembru 2024. bezbednosni istraživač Jeremiah Fowler naišao je na javno dostupnu bazu podataka kompanije Confidant Health, pružaoca usluga specijalizovanog za oporavak od zavisnosti i mentalno zdravlje. Baza je sadržala audio i video snimke terapijskih sesija, transkripte, psihijatrijske beleške, rezultate testova na droge, pa čak i kopije vozačkih dozvola. Ukupno 5,3 terabajta podataka, odnosno 126 000 fajlova ili 1,7 miliona zapisa, bilo je dostupno bez lozinke.

Kako da se zaštitite

Potpuno izbacivanje ovih aplikacija iz života jeste, naravno, najsigurnija opcija — ali nije i najrealnija. Osim toga, nema garancije da možete zaista obrisati već prikupljene podatke čak i ako izbrišete svoj nalog. Ranije smo pisali o mukotrpnom procesu uklanjanja sopstvenih podataka iz baza posrednika koji trguju podacima; moguće je, ali budite spremni na priličnu glavobolju. Rade Furtula preporučuje:

Proverite dozvole pre nego što pritisnete „Instaliraj“. U Google Play-u idite na Opis aplikacije → O ovoj aplikaciji → Dozvole. Aplikacija za praćenje raspoloženja nema razloga da traži pristup vašoj kameri, mikrofonu, kontaktima ili preciznoj GPS lokaciji. Ako to traži, ne brine o vašem blagostanju — već prikuplja podatke.

Zaista pročitajte politiku privatnosti. Razumemo — gotovo niko ne čita ove višestranične dokumente. Ali kada servis prikuplja vaše najintimnije misli, vredi bar preleteti pogledom. Obratite pažnju na upozoravajuće znakove: da li kompanija deli podatke sa trećim stranama? Da li možete ručno obrisati svoje zapise? Da li se politika izričito odnosi na aplikaciju ili samo na veb-sajt? Tekst politike uvek možete ubaciti u neki AI alat i zamoliti ga da označi problematične odredbe.

Proverite datum poslednjeg ažuriranja. Aplikacija koja nije ažurirana duže od šest meseci verovatno je prepuna neispravljenih ranjivosti. Podsetimo: šest od deset aplikacija koje je testirao Oversecured nije bilo ažurirano mesecima.

Isključite sve što nije neophodno u podešavanjima privatnosti na telefonu. Kada god dobijete upit, uvek izaberite „zatraži da aplikacija ne prati“. Kada vas aplikacija nagovara da uključite određeni tip praćenja — uz obrazloženje da je to za „internu optimizaciju“ — gotovo uvek je reč o marketinškom triku, a ne o funkcionalnoj potrebi. Ako aplikacija zaista ne može da radi bez neke dozvole, uvek je možete kasnije uključiti.

Ne koristite opcije „Prijavite se pomoću“. Prijavljivanje putem Facebook-a, Apple-a, Google-a ili Microsoft-a stvara dodatne identifikatore i daje kompanijama odličnu priliku da povežu vaše podatke na različitim platformama.

Sve što ukucate tretirajte kao javnu objavu na društvenim mrežama. Ako ne biste želeli da to pročita nasumična osoba na internetu, verovatno to ne bi trebalo ni da unosite u aplikaciju sa preko 150 ranjivosti koja nije dobila bezbednosnu zakrpu još od pretprošle godine.