приватность
В феврале 2026 года компания Oversecured опубликовала отчет, после которого хочется стереть все с телефона и уйти в лес. Исследователи проверили десять популярных Android-приложений для психического здоровья — трекеры настроения, ИИ-терапевты, инструменты для борьбы с депрессией и тревожностью — и нашли в них 1575 уязвимостей. Пятьдесят четыре из них оказались критическими. При этом, судя по количеству установок из Google Play, суммарно этими приложениями может пользоваться до 15 миллионов человек. Но самое неприятное — шесть из десяти проверенных приложений клятвенно обещали, что данные пользователей зашифрованы и надежно защищены.
Разбираемся в скандальной «утечке мозгов»: что именно может утечь, как именно это происходит и почему «анонимность» в таких сервисах — чаще всего маркетинговый миф.
Что нашли в приложениях
Oversecured — компания, которая занимается безопасностью мобильных приложений. Ее сканер проверяет APK-файлы на известные паттерны уязвимостей по десяткам категорий. В январе 2026 года исследователи прогнали через сканер десять приложений для контроля психического здоровья из Google Play — и получили впечатляющую картину.
| Тип приложения | Всего установок | Уязвимости по степени риска | |||
| Высокий | Средний | Низкий | Всего | ||
| Трекер настроения и привычек | 10+ млн | 1 | 147 | 189 | 337 |
| Чат-бот для психотерапии с использованием ИИ | 1+ млн | 23 | 63 | 169 | 255 |
| Платформа для эмоционального здоровья с использованием ИИ | 1+ млн | 13 | 124 | 78 | 215 |
| Трекер самочувствия | 500+ тыс. | 7 | 31 | 173 | 211 |
| Приложение для мониторинга депрессии | 100+ тыс. | 0 | 66 | 91 | 157 |
| Приложение контроля тревожности на основе когнитивно-поведенческой терапии (КПТ) | 500+ тыс. | 3 | 45 | 62 | 110 |
| Приложение онлайн-сообщества для психотерапии | 1+ млн | 7 | 20 | 71 | 98 |
| Приложение самопомощи при тревожности и фобиях | 50+ тыс. | 0 | 15 | 54 | 69 |
| Приложение для управления стрессом в армии | 50+ тыс. | 0 | 12 | 50 | 62 |
| Чат-бот для когнитивно-поведенческой терапии (КПТ) с использованием ИИ | 500+ тыс. | 0 | 15 | 46 | 61 |
| Всего | 14,7+ млн | 54 | 538 | 983 | 1575 |
Таблица уязвимостей в десяти протестированных приложениях для контроля психического здоровья. Источник
Что за уязвимости
Обнаруженные уязвимости разнообразны, но суть одна — они дают атакующим доступ к тому, что должно быть за семью печатями.
Так, одна из уязвимостей позволяет атакующему получить доступ к любой внутренней активности приложения, даже той, что не предназначена для внешнего доступа, и таким образом получить токены аутентификации и данные сессий пользователя. А с использованием их злоумышленник может получить прямой доступ к терапевтическим записям пользователя.
Другая проблема — локальное хранение данных с правами на чтение для любого приложения на устройстве. То есть какой-нибудь фонарик или калькулятор на вашем смартфоне потенциально может прочитать записи о ваших сеансах когнитивно-поведенческой терапии, заметки и оценки состояния.
Еще одна находка — конфигурационные данные в незашифрованном виде прямо внутри установочного APK-файла: URL-адреса на сервере, к которым обращается клиентское приложение для работы с данными (backend API endpoints), и жестко прошитые URL-адреса базы данных Firebase.
Кроме того, часть приложений использует криптографически слабый класс java.util.Random для генерации токенов сессий и ключей шифрования. Наконец, большинство из протестированных приложений не имеет защиты от работы на разблокированном телефоне с джейлбрейком (root-доступом), где любое стороннее приложение с правами суперпользователя может получить полный доступ ко всем локально хранимым медицинским данным.
При этом из десяти приложений только четыре получили обновления в феврале 2026-го. Остальные не обновлялись с ноября 2025-го, а одно — с сентября 2024 года. Полтора года без патчей — и это для приложения, в котором хранятся журналы настроения, записи о сеансах терапии и графики приема лекарств.
Напомним, насколько опасным может быть неправомерное использование подобных данных. В 2024 году весь мир был взбудоражен изощренной атакой на XZ Utils — важный компонент всех операционных систем, основанных на ядре Linux. Тогда хакерам удалось продавить разработчика утилиты на передачу прав на изменения в коде как раз потому, что автор публично признавался, что выгорел и не видит смысла дальше работать над проектом. Если бы атаку удалось завершить, ущерб от нее было бы сложно представить — примерно 80% серверного оборудования во всем мире работает под Linux.
Что может утечь
Что собирают и хранят проанализированные приложения? То, чем вы вряд ли хотели бы поделиться с кем-то кроме своего врача: стенограммы терапевтических сессий, логи настроения, расписание приема медикаментов, индикаторы самоповреждения, заметки из сессий когнитивно-поведенческой терапии и различные оценочные шкалы.
Медицинские карты еще в 2021 году продавались в дарквебе по тысяче долларов за экземпляр. Сравните: номер банковской карты на черном рынке стоит от 5 до 30 долларов. Медицинские записи содержат полный идентификационный пакет — имя, адрес, страховые данные, историю диагнозов — которые, в отличие от банковской карты, нельзя «перевыпустить». А еще медицинское мошенничество сложнее обнаружить: если кредитная компания блокирует подозрительную транзакцию за часы, то поддельный страховой счет за несуществующее лечение может оставаться незамеченным годами.
Где-то мы это уже видели
Исследование Oversecured — не единичная история.
В 2020 году Александр Кивимяки взломал базу данных финской психотерапевтической клиники Vastaamo и украл записи 33 000 пациентов. Когда клиника отказалась платить выкуп в 400 000 евро, он начал рассылать письма пациентам напрямую: «Заплатите 200 евро в биткоинах за 24 часа, или ваши записи станут публичными». А потом все равно выложил всю базу в даркнет. Как минимум два человека покончили с собой. Клиника обанкротилась. Кивимяки получил шесть лет и три месяца тюрьмы — это был рекордный для Финляндии процесс по числу пострадавших.
В 2023 году Федеральная торговая комиссия США оштрафовала сервис онлайн-терапии BetterHelp на 7,8 миллиона долларов. Компания передавала данные пользователей, включая ответы на опросники о психическом здоровье, e-mail-адреса и IP-адреса, в Facebook*, Snapchat, Criteo и Pinterest для таргетированной рекламы — при этом на странице регистрации, разумеется, обещала полную конфиденциальность. В итоге разбирательства 800 000 пользователей получили… по 10 долларов компенсации каждый.
В 2024 году та же Федеральная торговая комиссия США добралась до телемедицинской компании Cerebral, назначив ей штраф в семь миллионов долларов. Через пиксели отслеживания Cerebral слила данные 3,2 миллиона пользователей в LinkedIn, Snapchat и TikTok. Среди утекших данных — имена, истории болезней, информация о назначенных лекарствах, даты приемов и данные медстраховки. Ну и вишенка на торте — компания разослала шести тысячам пациентов рекламные открытки (не в конвертах), на которых фактически было указано, что получатель проходит психиатрическое лечение.
А в сентябре 2024 года исследователь безопасности Джеремайя Фаулер обнаружил открытую базу данных Confidant Health — компании, помогающей избавиться от алкогольной и наркотической зависимости и предоставляющей услуги в области психического здоровья. В базе были аудио- и видеозаписи терапевтических сессий, расшифровки, записи психиатра, результаты тестов на наркотики и копии водительских удостоверений. Всего 5,3 терабайта, 126 000 файлов, 1,7 миллиона записей. Без пароля.
Почему анонимность — это иллюзия
Разработчики часто говорят: «Мы никому не передаем персональные данные». Технически это может быть правдой — вместо этого они передают анонимизированные профили. Проблема в том, что деанонимизировать эти данные не так уж сложно. Недавнее исследование напоминает, что деанонимизация с помощью LLM в наши дни — вполне обычная история.
Да и непосредственно с анонимизацией данных дела обстоят так себе. Исследование Duke University раскрыло, что дата-брокеры открыто продают данные о психическом здоровье американцев. 11 из 37 опрошенных брокеров согласились продать данные с привязкой к диагнозам (депрессия, тревожность, биполярное расстройство), демографическим параметрам, а в ряде случаев — и к именам и домашним адресам. Цены начинались от 275 долларов за 5000 агрегированных записей.
А согласно исследованию Mozilla Foundation, в 2023 году 59% популярных приложений для психического здоровья не соответствовали минимальным стандартам приватности, а 40% приложений стали менее безопасными по сравнению с предыдущим годом. Приложения позволяли создавать аккаунты с использованием сторонних сервисов (вроде Google, Apple и Facebook*), имели слишком короткие политики конфиденциальности без деталей о сборе данных и использовали интересный прием: некоторые политики конфиденциальности распространялись только на веб-сайты, но не на сами приложения — то есть ваши действия на сайте были защищены политикой конфиденциальности, а вот в приложении — уже нет.
Как себя защитить
Отказ от использования подобных приложений — конечно, самый надежный вариант, но не самый реалистичный. Тем более что вы вряд ли сможете гарантированно уничтожить уже собранные данные, даже если закроете свой аккаунт. Мы уже подробно описывали непростой процесс удаления данных из баз дата-брокеров — сделать это можно, но придется повозиться. Как же себя обезопасить?
- Перед скачиванием приложения проверьте, какие разрешения оно запрашивает. В Google Play зайдите в Описание приложения → О приложении → Разрешения приложения. Трекер настроения не должен просить доступ к камере, микрофону, контактам или точному местоположению. Если просит — это не забота о вашем здоровье, а сбор данных.
- Прочитайте политику конфиденциальности. Обычно эти многостраничные соглашения никто не читает, но в случае с сервисом, собирающим очень личную информацию, сделать это все же стоит. Ищите ключевые маркеры: передает ли компания данные третьим лицам? Можно ли удалить свои данные? Распространяется ли политика обработки данных не только на сайт, но и на приложение? Для анализа политики конфиденциальности можно прибегнуть к помощи ИИ, просто попросив его изучить политику конфиденциальности и ответить, безопасно ли пользоваться этим приложением.
- Проверяйте дату последнего обновления. Приложение, не обновлявшееся больше полугода, скорее всего, не получает и патчей безопасности. Из десяти проверенных Oversecured приложений шесть не обновлялись месяцами.
- Отключайте все лишнее в настройках приватности телефона. Везде, где это возможно, выбирайте «запретить отслеживание». Когда приложение убеждает вас разрешить тот или иной вид отслеживания, мотивируя это некими «внутренними нуждами» — это почти всегда маркетинг, а не функциональная необходимость. В конце концов, если приложение не будет работать без того или иного разрешения, его всегда можно включить позже.
- Не авторизуйтесь через сторонние сервисы. Авторизация через Facebook*, Apple, Google или Microsoft — это дополнительные идентификаторы и расширенные возможности для связывания ваших данных между платформами.
- Относитесь ко всему, что вводите, как к открытому профилю в соцсети. Если вы не готовы, чтобы это прочитал случайный человек из Интернета, — то, наверное, не стоит записывать это в приложение с полутора сотнями уязвимостей, не обновлявшееся с позапрошлого года.
Что еще следует знать о настройках приватности и контроле за своими персональными данными в Сети:
* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.
** Компания Meta признана экстремистской организацией в Российской Федерации.
Советы