App per la salute mentale: oltre 14 milioni di download e 1.500 falle nella sicurezza
Le app sono diventate una miniera d'oro per gli hacker
Nel vasto mercato del crimine informatico, le gerarchie del valore stanno cambiando radicalmente. Se un tempo l’obiettivo primario di un hacker era ottenere le credenziali bancarie o i numeri delle carte di credito, oggi il bottino più prezioso è rappresentato dalla nostra fragilità psichica.
Un’analisi condotta da Oversecured, azienda specializzata nella sicurezza delle applicazioni mobili, ha acceso i riflettori su una realtà inquietante: le applicazioni per la salute mentale, scaricate da decine di milioni di persone, presentano vulnerabilità tecniche che potrebbero esporre le conversazioni private degli utenti a occhi indiscreti.
- Perché i dati sanitari valgono così tanto?
- La falla tecnica: come avviene il furto
- Giganti dai piedi d'argilla
- Un mercato senza regole
Perché i dati sanitari valgono così tanto?
Il motivo per cui un malintenzionato preferisce gli appunti di una seduta terapeutica ai dati finanziari è puramente economico. Sergey Toshin, fondatore di Oversecured e ricercatore con oltre quindici anni di esperienza, spiega che sul dark web una cartella clinica dettagliata può essere venduta a mille dollari o più per singolo documento. Al contrario, i dati di una carta di credito sono diventati una merce comune, venduta spesso per pochi dollari.
La vulnerabilità psicologica è un’arma potente per l’estorsione. I dati riguardanti traumi, dipendenze o attacchi di panico possono essere usati per ricattare direttamente le vittime. La storia recente ci ricorda il tragico caso della clinica finlandese Vastaamo nel 2020: gli hacker rubarono i file di trentatremila pazienti e li contattarono uno a uno, chiedendo riscatti per non rendere pubblici i loro segreti. Le conseguenze furono devastanti, portando purtroppo alcuni pazienti a compiere gesti estremi per la vergogna e la disperazione.
La falla tecnica: come avviene il furto
Ma come fanno gli hacker a entrare nel tuo telefono e leggere i messaggi che invii al tuo terapeuta basato sull’intelligenza artificiale? La falla non risiede necessariamente in un attacco diretto ai server centrali, ma nel modo in cui le app Android comunicano tra loro sul dispositivo.
Android utilizza i cosiddetti intenti, una sorta di sistema di messaggistica interna tra le varie componenti dello smartphone. In un’applicazione costruita correttamente, i dati sensibili vengono inviati a un destinatario specifico e protetto. Tuttavia, i ricercatori hanno scoperto che molte delle app più popolari trasmettono queste informazioni senza specificare chi debba riceverle.
Questo permette a un’applicazione spia di agire in background. Quando aprite l’app di terapia e scrivete un messaggio confidenziale, l’app spia lo intercetta istantaneamente e lo invia al server dell’aggressore. L’utente, nel frattempo, continua la sua conversazione convinto di trovarsi in un ambiente protetto e privato.
Giganti dai piedi d’argilla
L’aspetto più preoccupante dell’indagine di Oversecured è che le falle non riguardano piccole app sconosciute, ma veri e propri giganti del settore. Tra le applicazioni vulnerabili figurano piattaforme con milioni di utenti attivi e software utilizzati dai sistemi sanitari statali in Europa.
Questi strumenti hanno facilitato centinaia di milioni di conversazioni su temi delicatissimi. Nonostante i massicci investimenti e i team di sviluppo professionali, la sicurezza informatica sembra essere stata sacrificata sull’altare della velocità di crescita e della facilità d’uso. Inoltre, queste app spesso non sono coperte dalle normative tradizionali sulla privacy sanitaria, creando un vuoto legale in cui le aziende possono operare con standard di protezione inferiori rispetto a un vero e proprio ospedale.
Un mercato senza regole
Il mercato delle app per la salute mentale sta esplodendo, con previsioni che toccano i dodici miliardi di dollari entro la fine del 2025. Con circa un miliardo di persone nel mondo che soffrono di disturbi mentali, i chatbot AI sono diventati per molti il primo punto di supporto accessibile. Tuttavia, il progetto “Privacy Not Included” della Fondazione Mozilla ha già definito questa categoria di software come un incubo per la privacy.
La tecnologia può essere un alleato straordinario per democratizzare l’accesso alle cure mentali, ma senza una sicurezza rigorosa, il rischio è quello di esporre le persone più fragili a pericoli senza precedenti. In attesa che gli sviluppatori correggano queste falle, la raccomandazione degli esperti è di prestare massima attenzione ai permessi che concediamo alle app sul nostro smartphone e di preferire piattaforme che garantiscano una crittografia dei dati certificata.
