最新发现，谷歌应用商店中多款下载量达数百万级的心理健康 APP 存在安全漏洞，可能导致用户的敏感医疗信息遭到泄露。

安全研究人员在其中一款应用中，发现了超过 85 个中高危漏洞，攻击者可利用这些漏洞窃取用户的心理咨询数据与隐私信息。

部分涉事应用为 AI 陪伴类工具，旨在帮助患有临床抑郁症、各类焦虑症、惊恐发作、压力应激及双相情感障碍的人群。在研究人员分析的 10 款应用中，至少有 6 款宣称用户对话内容为私密信息，或在服务商服务器上进行安全加密存储。据了解，心理健康数据具有极高的风险价值。在暗网中，心理咨询记录每条售价可达 1000 美元甚至更高。

累计发现超 1500 个安全问题

研究人员对十款宣传可辅助解决各类心理健康问题的移动应用进行了扫描，共发现 1575 个安全漏洞，其中高危漏洞 54 个、中危漏洞 538 个、低危漏洞 983 个。 

尽管发现的所有漏洞都不严重，但大量漏洞可被用于窃取登录凭证、伪造通知、执行 HTML 注入或获取用户位置。 

一款下载量超百万的心理咨询类应用，直接对外部可控字符串使用 Intent.parseUri ( ) ，并在未校验目标组件的情况下启动生成的意图对象，这使得攻击者可强制应用打开任意内部页面，即便该页面本不应对外开放。

由于这些内部页面通常处理认证令牌与会话数据，漏洞被利用后，攻击者可直接获取用户的心理咨询记录。 

另一类问题是应用本地数据存储权限不当，设备上的任意应用均可读取，可能暴露心理咨询详情，包括咨询记录、认知行为疗法（CBT）会话笔记及各类评估评分。 

研究人员还发现，部分应用的 APK 资源中包含明文配置信息，如后端 API 接口地址与硬编码的 Firebase 数据库链接。此外，部分存在漏洞的应用使用加密安全性不足的 java.util.Random 类生成会话令牌或加密密钥。 

研究人员表示，十款应用中的大多数均未实现任何 Root 检测机制。在已获取 Root 权限（越狱）的设备上，任何拥有高权限的应用均可访问本地存储的全部健康数据。 

十款应用中仅有六款未发现高危漏洞，但仍存在中危漏洞，导致整体安全防护水平下降。这些应用收集并存储着移动端最敏感的个人数据，包括心理咨询会话转录文本、情绪日志、用药计划、自伤倾向指标，部分信息还受《健康保险流通与责任法案》（HIPAA）保护。

据统计，研究人员扫描的应用总下载量已超过 1470 万次，其中仅有四款应用在本月进行过更新，其余应用的最近更新时间停留在 2025 年 11 月，甚至 2024 年 9 月。而扫描时间为 1 月 22 日至 23 日，检测对象为当时最新版本应用。研究人员目前无法确认相关漏洞是否已被修复。