Les experts de la société de sécurité Oversecured tirent la sonnette d’alarme. Selon eux, de nombreuses applications de santé mentale et de thérapie populaires sur le Google Play Store causent plus de mal que de bien pour les patients et les utilisateurs.

Quand les applications sur Android mettent les utilisateurs en danger

Selon un rapport de Bleeping Computer, l’entreprise a analysé dix des applications les plus téléchargées. Ce faisant, elle a découvert qu’elles contenaient collectivement plus d’un millier de failles de sécurité. La plupart de ces failles appartiennent à la catégorie « gravité élevée ». D’autres appartiennent aux catégories « moyenne » ou « faible ». Par exemple, une application intitulée AI Therapy Chatbot a été signalée pour 23 bogues de haute gravité.

La situation est d’autant plus grave que la base d’utilisateurs est conséquente. Ces applications ont en effet plus de 14 millions de téléchargements à leur actif. La principale application de la liste, Mood & Habit Tracker, compte plus de 10 millions d’installations. La plupart des autres applications comptent plus de 500 000 d’installations chacune.

Des informations sensibles ciblées par les pirates

Le rapport souligne que ces failles permettent aux pirates de contourner les mesures de sécurité. Ainsi, ils peuvent accéder aux données des utilisateurs et dérober celles-ci. Parmi ces données, on trouve également les dossiers de thérapie, les calendriers de prise de médicaments et les adresses personnelles.

Certaines des failles décrites impliquent que les développeurs stockent des éléments critiques de la base de données en clair, sans mesures de protection supplémentaires. D’autres applications ne présentaient pas de validation adéquate lors de l’analyse des données des utilisateurs. Qui plus est, certaines applications effectuent une génération non sécurisée de clés cryptographiques. Cela pourrait permettre à des pirates de forcer les applications à révéler des données confidentielles.

La société de sécurité Oversecured a analysé dix applications populaires de thérapie mentale et a découvert plusieurs milliers de vulnérabilités. Source de l'image : Bleeping Computer / Oversecured

Oversecured note dans son rapport de recherche que « ces applications collectent et stockent certaines des données personnelles les plus sensibles sur mobile. Parmi elles, on trouve des transcriptions de séances de thérapie, des journaux d’humeur, des calendriers de prises de médicaments, des indicateurs d’automutilation et, dans certains cas, des informations protégées par la loi HIPAA ».

Le rapport ajoute également que les cybercriminels peuvent vendre ces dossiers thérapeutiques volés sur le dark web, où ils peuvent en tirer souvent plus de 1000 dollars par dossier. Ces informations sont considérées comme bien plus précieuses que les numéros de cartes de crédit.

Au-delà du risque de vol de données, les malfaiteurs peuvent exploiter ces failles de multiples façons. Ils peuvent utiliser des vulnérabilités pour exécuter du code à distance ou installer des logiciels malveillants pour détourner des identifiants de connexion, des informations sur les comptes bancaires et des adresses physiques.

La résolution de ces vulnérabilités nécessite des mises à jour régulières des applications. Cependant, le rapport met en évidence un problème important : rares sont les applications qui reçoivent des mises à jour régulières. Nombre d’entre elles ne reçoivent des mises à jour que tous les deux mois. Dans certains cas, des années s’écoulent parfois entre deux correctifs de sécurité.

Ce que les utilisateurs peuvent faire pour se protéger

Nous conseillons aux utilisateurs de prendre des mesures proactives pour sécuriser leurs données. Il s’agit notamment d’éviter de fournir des informations personnelles exhaustives à des applications ou des sites web suspects. En outre, les utilisateurs devraient éviter les applications qui n’ont pas fait l’objet de mises à jour régulières ou qui proviennent de développeurs non vérifiés.

Il est également essentiel de maintenir un téléphone ou une tablette Android à jour en installant les derniers correctifs de sécurité et les dernières versions du système d’exploitation Android. Si un appareil ne reçoit plus de mises à jour, il est fortement recommandé de passer à un modèle plus récent ou d’éviter d’utiliser l’appareil pour des applications financières ou l’entrée d’informations personnelles sensibles.

Avez-vous vérifié si vous avez ces applications sur votre téléphone ? Faites-nous part de vos conclusions dans les commentaires ci-dessous.