Populära appar för att stödja människors psykologiska och andliga välbefinnande kan skada dem genom att dela deras personliga och känsliga data med tredje part, bland annat integritetsbrott.
Även om de har goda avsikter att främja mental hälsa och andligt välbefinnande, kan majoriteten av appar för mental hälsa och böne skada sina användare på andra sätt genom att exponera personliga och intima data på grund av en allvarlig brist på säkerhet och privatpolicy skydd, har forskare från Mozilla funnit.
Av 32 mental-hälsa och bön mobila appar undersökt av öppen källkodsorganisationen, visade sig 28 vara i sig osäkra och fick etiketten "Privacy Not Included", enligt en rapport med samma namn publiceras online denna vecka. Dessutom uppfyllde 25 appar inte Mozillas minimisäkerhetsstandarder, som att kräva starka lösenord och hantera säkerhetsuppdateringar och sårbarheter, sa forskare.
Apparna i fråga hanterar några av de mest känsliga psykiska hälso- och välmåendeproblemen människor upplever – som depression, ångest, självmordstankar, våld i hemmet och ätstörningar. Apparna, fann forskare, verkar vara bland de mest okänsliga när det gäller att skydda den intima informationen.
Mozillas Jen Caltrider, huvudforskaren för rapporten, gick så långt som att kalla majoriteten av apparna för mental hälsa och böne "exceptionellt läskiga" i ett blogginlägg om studien.
"De spårar, delar och utnyttjar användarnas mest intima personliga tankar och känslor, som humör, mentalt tillstånd och biometriska data," sa hon. "Det visar sig att det inte är bra för din mentala hälsa att undersöka appar för mental hälsa, eftersom det avslöjar hur försumliga och lustiga dessa företag kan vara med vår mest intima personliga information."
Sammantaget tillbringade Mozilla-forskare 255 timmar, eller ungefär åtta timmar per produkt, och tittade under huven av säkerheten för en mängd olika appar för mental hälsa och böne.
Apparna som de undersökte har funktionalitet som att koppla samman användare med terapeuter och erbjuda AI-chatrobotar, gemenskapsstödsidor och böner. De erbjuder också humörjournaler och välbefinnandebedömning, bland andra funktioner som kräver insamling av känslig information om användare.
Några av apparnas stötande beteende inkluderar att dela användarnas intima data, tillåta svaga lösenord, rikta in sig på sårbara användare med personliga annonser och att presentera vaga och dåligt skrivna sekretesspolicyer, enligt inlägget.
Till exempel tillät minst åtta av de granskade apparna svaga lösenord som sträcker sig från "1" till "11111111", medan en - en mentalvårdsapp som heter Moodfit - bara krävde en bokstav eller siffra som lösenord, "vilket gäller för en app som samlar in humör- och symptomdata”, konstaterade forskare i inlägget.
"Trots att de hanterar otroligt känslig information, liknar vissa appars säkerhetsrutiner ett tunt lås på en dagbok", sa de.
Värsta integritetsförbrytare
Bland de undersökta apparna utsågs sex med den tvivelaktiga skillnaden att vara de "värsta förövarna" av användarnas integritet: Better Help, Youper, Woebot, Better Stop Suicide, Pray.com och Talkspace.
Två av dessa appar – Better Help, en populär app som kopplar samman användare med terapeuter och Better Stop Suicide, en självmordsförebyggande app – har "vaga och röriga" sekretesspolicyer som ger få eller inga detaljer om hur apparna skyddar användardata och vad användare kan göra om de har problem, rapporterade forskare.
Tre andra – Youper, en digital mentalvårdstjänst för behandling av ångest och depression; Pray.com, som uppmuntrar till en daglig böneövning; och Woebot, en AI-chattbot för att främja bättre mental hälsa – gå ännu längre genom att dela personlig information från apparna med tredje part.
Woebot, till exempel, samlar in personlig information som en användares namn, e-post, telefonnummer IP-adress, såväl som all känslig information som användare delar i konversationer med boten. Den erhåller också användarinformation "från andra källor, inklusive genom tredjepartstjänster och organisationer för att komplettera information som tillhandahålls av dig", enligt dess sekretesspolicynoteringar.
"Så Woebot kan samla in en hel del personlig information, [och] lägga till informationen du ger dem med ännu mer information som samlats in från tredje part", noterade forskare i rapporten. "Då säger de att de kan dela en del av denna information med tredje part, inklusive försäkringsbolag och en till synes bred kategori som de kallar "externa rådgivare."
Den andra överträdaren – en onlineterapiapp med kändis sponsorer som mästarsimmaren Michael Phelps och musikalartisten Demi Lovato som heter Talkspaces – samlar in en betydande mängd personlig information om användare, inklusive namn, e-post, adress, telefonnummer, kön, relationsstatus , arbetsgivare, geolokaliseringsinformation, chattranskriptioner och mer.
Talkspaces går till och med så långt att de ber om användarnas skriftliga tillåtelse att använda deras hälsoinformation och terapianteckningar för marknadsföringsändamål, vilket Mozilla-forskare sa är "dålig form" för alla appar, särskilt en dedikerad till mental hälsa.