Ứng Dụng Chữa Lành Lại Trở Thành Lỗ Hổng Rò Rỉ Bí Mật Tồi Tệ Nhất

Ứng Dụng Chữa Lành Lại Trở Thành Lỗ Hổng Rò Rỉ Bí Mật Tồi Tệ Nhất

Thay vì giúp người dùng giảm bớt lo âu, các ứng dụng sức khỏe tâm thần lại đang trở thành một cơn đau đầu mới. Các chuyên gia bảo mật vừa phát hiện hàng ngàn lỗ hổng bên trong các ứng dụng này, cho phép bất kỳ ai cũng có thể đọc trộm nhật ký trị liệu và suy nghĩ thầm kín của bạn.

10 Ứng dụng, 1.575 Lỗ hổng!

Vào đầu năm 2026, các nhà nghiên cứu bảo mật đã sử dụng máy quét chuyên dụng để kiểm toán 10 ứng dụng sức khỏe tâm thần phổ biến nhất trên Android (bao gồm app theo dõi cảm xúc, chatbot AI trị liệu, và công cụ kiểm soát trầm cảm).

Kết quả trả về thật sự "ngoạn mục" (theo một cách tồi tệ nhất):

• Phát hiện tổng cộng 1.575 lỗ hổng bảo mật.

• Trong đó có 54 lỗ hổng được xếp loại "Nghiêm trọng" (Critical).

• Tính theo lượt tải trên Google Play, có tới 15 triệu người dùng đang đối mặt với nguy cơ bị phơi bày bí mật cá nhân và hồ sơ y tế.

Tâm trí của bạn đang bị "Đọc trộm" như thế nào?

Những lỗ hổng này không chỉ là lỗi phần mềm thông thường, chúng trực tiếp mở toang cánh cửa vào tâm trí bạn qua 2 con đường:

• Bị cướp "Chìa khóa" phiên đăng nhập: Rất nhiều ứng dụng mắc lỗi xác thực ngớ ngẩn, cho phép hacker dễ dàng đánh cắp token đăng nhập (Session Hijacking). Một khi có được nó, chúng có thể tự do truy cập vào toàn bộ hồ sơ trị liệu tâm lý của bạn từ xa.

• Hàng xóm tọc mạch: Điểm tồi tệ nhất là lỗi lưu trữ dữ liệu cục bộ (Local data storage) cực kỳ hớ hênh. Ứng dụng "chữa lành" lại cấp quyền đọc cho các ứng dụng khác trên cùng thiết bị. Điều này có nghĩa là một ứng dụng đèn pin hay máy tính cầm tay vô hại trên điện thoại của bạn cũng có thể ngầm đọc được nhật ký Liệu pháp Nhận thức Hành vi (CBT), ghi chú cá nhân và đánh giá tâm trạng mỗi ngày của bạn.

Cú lừa từ "Chính sách bảo mật"

Thực tế, sự cẩu thả này vốn dĩ đã có từ lâu. Theo tổ chức Mozilla Foundation, có tới 59% các ứng dụng sức khỏe tâm thần phổ biến thất bại trong việc đáp ứng các tiêu chuẩn quyền riêng tư cơ bản nhất.

Các nhà phát triển thường sử dụng những chiêu trò lươn lẹo để qua mặt người dùng:

• Khuyến khích đăng nhập nhanh qua bên thứ ba (Google, Facebook, Apple) để dễ dàng thu thập dữ liệu chéo.

• Viết các chính sách bảo mật siêu ngắn gọn để lấp liếm việc bán dữ liệu.

• Chơi chữ pháp lý: Đưa ra một chính sách bảo mật rất hoành tráng, nhưng nó lại chỉ áp dụng cho trang web của công ty, chứ hoàn toàn không có hiệu lực với cái ứng dụng mà bạn đang cài trên điện thoại!

3 Bước "Chữa lành" cho chiếc điện thoại của bạn

Sức khỏe tinh thần là điều vô cùng quan trọng, nhưng đừng vì thế mà nhắm mắt đánh đổi quyền riêng tư. Trước khi tải bất kỳ ứng dụng theo dõi tâm trạng nào, hãy rèn luyện thói quen tự vệ sau:

1. Kiểm tra quyền (Permissions) một cách tàn nhẫn: Một ứng dụng theo dõi tâm trạng (Mood Tracker) không có bất kỳ lý do chính đáng nào để yêu cầu quyền truy cập vào Camera, Micro, Danh bạ hay Vị trí GPS của bạn. Nếu nó đòi hỏi những quyền này, mục đích chính của nó là thu hoạch dữ liệu chứ không phải quan tâm đến sức khỏe của bạn.

2. Đọc kỹ trước khi bấm "Cài đặt": Hãy luôn cuộn xuống phần Giới thiệu ứng dụng (About this app) trên Google Play và kiểm tra kỹ danh sách các quyền truy cập mà ứng dụng sẽ đòi hỏi.

3. Cân nhắc phương pháp truyền thống: Đối với những suy nghĩ, dằn vặt thực sự nhạy cảm và riêng tư, đôi khi một cuốn sổ tay có khóa vật lý và một cây bút lại an toàn hơn bất kỳ công nghệ mã hóa điện toán đám mây nào.

Đừng để những công cụ sinh ra để xoa dịu nỗi đau lại trở thành điểm yếu chí mạng khiến bạn bị tống tiền tinh thần trong tương lai.

Hương - Theo TheHackerNews