Aplikasi Kesehatan Mental Android dengan 14,7 Juta Unduhan Ditemukan Penuh Celah Keamanan
Sejumlah aplikasi kesehatan mental di Android yang telah diunduh lebih dari 14,7 juta kali dilaporkan mengandung berbagai kerentanan keamanan yang berpotensi mengekspos data medis sensitif pengguna.
Penelitian terbaru mengungkap bahwa dari sepuluh aplikasi yang dianalisis, ditemukan total 1.575 celah keamanan dengan tingkat keparahan bervariasi. Beberapa di antaranya dapat dimanfaatkan untuk mencuri kredensial login, melakukan injeksi HTML, memalsukan notifikasi, hingga melacak lokasi pengguna.
Aplikasi yang diteliti mencakup pelacak suasana hati dan kebiasaan, chatbot terapi berbasis AI, platform kesehatan emosional, alat manajemen depresi, hingga aplikasi berbasis Cognitive Behavioral Therapy (CBT). Sebagian di antaranya secara eksplisit menyatakan bahwa percakapan pengguna bersifat privat dan dienkripsi secara aman di server penyedia layanan.
Data Terapi Bernilai Tinggi di Pasar Gelap
Menurut Sergey Toshin, pendiri perusahaan keamanan seluler Oversecured, data kesehatan mental memiliki risiko unik. Catatan terapi disebut dapat dijual di pasar gelap dengan harga mencapai 1.000 dolar AS per rekaman, jauh lebih tinggi dibandingkan nomor kartu kredit.
Temuan ini menyoroti tingginya nilai data terapi, termasuk transkrip sesi, catatan CBT, skor evaluasi psikologis, jadwal pengobatan, serta indikator perilaku menyakiti diri.
1.575 Kerentanan dalam 10 Aplikasi
Dari hasil pemindaian yang dilakukan pada 22–23 Januari 2026 terhadap versi terbaru aplikasi yang tersedia saat itu, Oversecured menemukan:
- 54 kerentanan tingkat tinggi
- 538 kerentanan tingkat menengah
- 983 kerentanan tingkat rendah
Meski tidak ditemukan celah dengan tingkat kritis, sejumlah kerentanan tingkat menengah dan tinggi dinilai cukup untuk mengakses data sensitif.
Salah satu aplikasi terapi dengan lebih dari satu juta unduhan diketahui menggunakan metode Intent.parseUri() terhadap string yang dikendalikan secara eksternal tanpa validasi memadai. Celah ini memungkinkan penyerang membuka aktivitas internal aplikasi yang seharusnya tidak dapat diakses dari luar.
Karena aktivitas internal tersebut sering menangani token autentikasi dan data sesi, eksploitasi berpotensi memberi akses ke catatan terapi pengguna.
Penyimpanan Lokal Tidak Aman dan Token Lemah
Masalah lain yang ditemukan adalah penyimpanan data lokal yang dapat dibaca oleh aplikasi lain di perangkat. Jika perangkat dalam kondisi di-root, aplikasi dengan hak istimewa tinggi dapat mengakses seluruh data kesehatan yang tersimpan secara lokal.
Peneliti juga menemukan konfigurasi backend dalam bentuk teks polos di dalam file APK, termasuk endpoint API dan URL Firebase database yang dikodekan secara statis.
Beberapa aplikasi juga menggunakan kelas java.util.Random yang tidak aman secara kriptografis untuk menghasilkan token sesi atau kunci enkripsi, sehingga memperlemah proteksi data.
Selain itu, mayoritas aplikasi yang dianalisis tidak memiliki mekanisme deteksi root, yang membuatnya semakin rentan di perangkat yang telah dimodifikasi.
Pembaruan Minim, Status Perbaikan Belum Jelas
Dari total sepuluh aplikasi yang diperiksa, hanya empat yang menerima pembaruan dalam bulan ini. Sisanya terakhir diperbarui pada November 2025 atau bahkan September 2024.
Oversecured menyatakan tidak dapat memastikan apakah celah yang ditemukan telah ditambal oleh pengembang, karena proses pengungkapan kerentanan masih berlangsung.
Nama aplikasi yang terdampak tidak dipublikasikan demi alasan tanggung jawab pengungkapan (responsible disclosure).
Kasus ini menegaskan pentingnya standar keamanan yang lebih ketat pada aplikasi kesehatan mental, mengingat data yang dikumpulkan termasuk kategori paling sensitif dalam ekosistem mobile dan dalam beberapa yurisdiksi dilindungi oleh regulasi seperti HIPAA.
