Hiện nay, các ứng dụng trên smartphone dần trở thành người bạn đồng hành chăm sóc sức khỏe tinh thần cho con người, từ theo dõi tâm trạng đến các chatbot hỗ trợ trị liệu, giúp giảm lo âu, trầm cảm hay stress. Tuy nhiên, một nghiên cứu mới đây của các chuyên gia an ninh mạng đã chỉ ra một điều đáng lo ngại, nhiều ứng dụng miễn phí trên cửa hàng Google Play mà hàng triệu người đang tin dùng chứa lỗ hổng bảo mật có thể phơi bày dữ liệu cá nhân rất nhạy cảm.
Hiện tại, các lỗ hổng này vẫn đang trong quá trình được phối hợp tiết lộ với các nhà cung cấp, vì vậy tên cụ thể của các ứng dụng chưa được công bố rộng rãi để tránh việc bị lợi dụng trước khi bản vá được phát hành.
Ngành công nghiệp phần mềm cần tiếp tục cải tiến quy trình bảo mật, đồng thời người dùng cũng nên tỉnh táo hơn trong lựa chọn và cách sử dụng ứng dụng, đặc biệt khi các ứng dụng đó thu thập, xử lý thông tin nhạy cảm về sức khỏe và cảm xúc.
Hơn 14 triệu cài đặt, nhưng an toàn dữ liệu lại bị lơ là
Theo phân tích của một hãng bảo mật, nhóm nghiên cứu đã quét 10 ứng dụng Android được quảng bá là hỗ trợ sức khỏe tâm thần. Tổng lượt cài đặt của những ứng dụng này đã có thể lên đến hơn 14,7 triệu lượt tải từ Google Play. Trong khi, các dữ liệu sức khỏe tâm thần là loại thông tin cực kỳ nhạy cảm. Trên thị trường chợ đen, hồ sơ trị liệu hay nhật ký tâm trạng thậm chí còn có thể được mua bán với giá cao hơn cả số thẻ tín dụng bị đánh cắp.Những lỗ hổng nào đã bị phát hiện?
Tổng cộng 1.575 lỗ hổng bảo mật trên 10 ứng dụng được kiểm tra, trong đó có nhiều lỗi từ “trung bình” đến “nghiêm trọng”, đây đều là những lỗ hổng có thể bị khai thác để tiếp cận dữ liệu người dùng:- Lỗi xác thực và mã hóa kém: Một số ứng dụng không kiểm tra đầy đủ các liên kết được cung cấp bởi chính người dùng, tạo điều kiện cho kẻ tấn công mở các thành phần nội bộ của ứng dụng vốn không nên truy cập được. Điều này có thể dẫn đến việc lấy cắp token đăng nhập hoặc truy cập dữ liệu trị liệu.
- Lưu dữ liệu ở nơi không an toàn: Một số ứng dụng lưu trữ dữ liệu quan trọng như nhật ký trị liệu hay lịch dùng thuốc ở vị trí mà các ứng dụng khác trên thiết bị có thể đọc được, mở cửa cho kẻ tấn công hoặc ứng dụng xấu khác tiếp cận dữ liệu này.
- Dữ liệu cấu hình không được bảo vệ: Các thông tin nhạy cảm như đường dẫn API hay URL cơ sở dữ liệu Firebase được để ở dạng văn bản thô (plaintext) trong file cài đặt APK, có thể bị kẻ xấu khai thác để tấn công sâu hơn.
- Tạo khóa và mã phiên không an toàn: Một số app sử dụng các hàm tạo số ngẫu nhiên không đủ an toàn để mã hóa dữ liệu, khiến định danh phiên hoặc khóa bảo mật dễ bị phá hơn.
Tại sao chuyện này đáng lo ngại?
Nếu một ứng dụng sức khỏe tâm thần chứa lỗi bảo mật, điều đó không chỉ đơn thuần là “app bị hack”. Trong nhiều tình huống, kẻ xấu có thể:- Đọc được nhật ký trị liệu, trao đổi với chatbot tâm lý hoặc ghi chú về cảm xúc cá nhân (những thứ người dùng thường nghĩ là riêng tư).
- Tiếp cận thông tin đăng nhập và dùng chúng để xâm nhập tài khoản của người dùng trên chính nền tảng đó hoặc thậm chí trên các dịch vụ khác nếu người dùng dùng chung mật khẩu.
- Xác định vị trí người dùng, đánh lừa gửi các thông báo nguy hiểm hoặc chạy các mã độc hại từ xa.
Cập nhật và trách nhiệm của nhà phát triển
Một điểm quan trọng mà Oversecured chỉ ra là chỉ 4 trong số 10 ứng dụng được cập nhật gần đây nhất, trong khi phần còn lại đã lâu không có bản sửa lỗi (cập nhật từ tháng 11/2025 hoặc thậm chí tháng 9/2024). Điều này đặt ra câu hỏi về trách nhiệm của nhà phát triển trong việc bảo vệ dữ liệu người dùng.Hiện tại, các lỗ hổng này vẫn đang trong quá trình được phối hợp tiết lộ với các nhà cung cấp, vì vậy tên cụ thể của các ứng dụng chưa được công bố rộng rãi để tránh việc bị lợi dụng trước khi bản vá được phát hành.
Người dùng cần làm gì?
Đối với người dân không có chuyên môn kỹ thuật, vài điểm nên lưu tâm để giảm rủi ro bảo mật:- Luôn cập nhật ứng dụng lên phiên bản mới nhất qua Google Play mỗi khi có thông báo.
- Đọc quyền truy cập mà ứng dụng yêu cầu trước khi cài (Ví dụ: các quyền truy cập không cần thiết).
- Khi sử dụng ứng dụng sức khỏe tâm thần, cân nhắc không lưu quá nhiều thông tin nhạy cảm trong app nếu không cần thiết, đặc biệt là nếu app đó ít được cập nhật thường xuyên.
- Nếu có lựa chọn, chọn ứng dụng từ các nhà phát triển uy tín hoặc được cộng đồng đánh giá cao.
Ứng dụng hỗ trợ tâm lý không chỉ là “trợ lý ảo”
Các ứng dụng chăm sóc sức khỏe tâm thần mang lại nhiều lợi ích cho người dùng, đặc biệt trong bối cảnh thiếu hụt dịch vụ y tế truyền thống và nhu cầu về hỗ trợ tâm lý gia tăng. Tuy nhiên, như nghiên cứu mới đây cho thấy, việc bảo vệ dữ liệu người dùng vẫn còn nhiều lỗ hổng, có thể biến những công cụ hữu ích này thành nguồn rủi ro cho quyền riêng tư và an toàn cá nhân.Ngành công nghiệp phần mềm cần tiếp tục cải tiến quy trình bảo mật, đồng thời người dùng cũng nên tỉnh táo hơn trong lựa chọn và cách sử dụng ứng dụng, đặc biệt khi các ứng dụng đó thu thập, xử lý thông tin nhạy cảm về sức khỏe và cảm xúc.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
