Em fevereiro de 2026, a empresa de segurança cibernética Oversecured publicou um relatório que faz você querer redefinir seu telefone para os padrões de fábrica e se mudar para uma cabana remota na floresta. Pesquisadores auditado 10 aplicativos populares de saúde mental para Android – desde rastreadores de humor e terapeutas de IA até ferramentas para gerenciar depressão e ansiedade – e descobriram… 1.575 vulnerabilidades! Cinquenta e quatro dessas falhas foram classificadas como críticas. Dadas as estatísticas de download no Google Play, até 15 milhões de pessoas poderiam ser afetadas. O verdadeiro chutador? Seis dos dez aplicativos testados prometeram explicitamente aos usuários que seus dados seriam “totalmente criptografados e protegidos com segurança”.
Estamos analisando essa escandalosa “fuga de cérebros”: o que exatamente pode vazar, como isso está acontecendo e por que o “anonimato” nesses serviços geralmente é apenas um mito de marketing.
O que foi encontrado nos aplicativos
Oversecured é uma empresa de segurança de aplicativos móveis que usa um scanner especializado para analisar arquivos APK em busca de padrões de vulnerabilidade conhecidos em dezenas de categorias. Em janeiro de 2026, pesquisadores executaram dez aplicativos de monitoramento de saúde mental do Google Play por meio do scanner — e os resultados foram, digamos, “espetaculares”.
| Tipo de aplicativo | Instalações | Vulnerabilidades de segurança | |||
| Alta gravidade | Gravidade média | Baixa gravidade | Total | ||
| Rastreador de humor e hábitos | Mais de 10 milhões | 1 | 147 | 189 | 337 |
| Chatbot de terapia de IA | Mais de 1 milhão | 23 | 63 | 169 | 255 |
| Plataforma de saúde emocional de IA | Mais de 1 milhão | 13 | 124 | 78 | 215 |
| Rastreador de saúde e sintomas | 500 mil + | 7 | 31 | 173 | 211 |
| Ferramenta de gerenciamento de depressão | 100 mil + | 0 | 66 | 91 | 157 |
| Aplicativo de ansiedade baseado em TCC | 500 mil + | 3 | 45 | 62 | 110 |
| Terapia online e comunidade de apoio | Mais de 1 milhão | 7 | 20 | 71 | 98 |
| Autoajuda para ansiedade e fobia | 50 mil + | 0 | 15 | 54 | 69 |
| Gestão do estresse militar | 50 mil + | 0 | 12 | 50 | 62 |
| Chatbot de IA CBT | 500 mil + | 0 | 15 | 46 | 61 |
| Total | 14,7 milhões + | 54 | 538 | 983 | 1575 |
Vulnerabilidades encontradas nos 10 aplicativos de saúde mental testados. Fonte
A anatomia das falhas
As vulnerabilidades descobertas são diversas, mas todas se resumem a uma coisa: dar aos invasores acesso a dados que deveriam estar trancados a sete chaves.
Para começar, uma das vulnerabilidades permite que um invasor acesse qualquer atividade interna do aplicativo – mesmo aquela que nunca foi destinada a olhos externos. Isso abre a porta para o sequestro de tokens de autenticação e dados de sessão do usuário. Depois que um invasor os tiver, ele poderá obter acesso aos registros de terapia de um usuário.
Outro problema é o armazenamento local inseguro de dados com permissões de leitura concedidas a qualquer outro aplicativo no dispositivo. Em outras palavras, aquele aplicativo de lanterna aleatório ou calculadora em seu smartphone poderia potencialmente ler seus registros de terapia cognitivo-comportamental (TCC), notas pessoais e avaliações de humor.
Os pesquisadores também encontraram dados de configuração não criptografados diretamente nos arquivos de instalação do APK. Isso incluía endpoints de API de back-end e URLs codificados para bancos de dados Firebase.
Além disso, vários aplicativos foram pegos usando criptografia fraca java.util.Random classe para gerar tokens de sessão e chaves de criptografia.
Finalmente, a maioria dos aplicativos testados não possuía detecção de root/jailbreak. Em um dispositivo com acesso root, qualquer aplicativo de terceiros com privilégios de root pode obter acesso total a todos os dados médicos armazenados localmente.
Surpreendentemente, dos 10 aplicativos analisados, apenas quatro receberam atualizações em fevereiro de 2026. O restante não viu um patch desde novembro de 2025, e um não foi tocado desde setembro de 2024. Passar 18 meses sem um patch de segurança é uma vida inteira neste setor – especialmente para um aplicativo que contém diários de humor, transcrições de terapia e horários de medicamentos.
Aqui está um rápido lembrete de quão perigoso é o uso indevido desse tipo de dados. Em 2024, o mundo da tecnologia foi abalado por um ataque sofisticado ao XZ Utils, um componente crítico encontrado em praticamente todos os sistemas operacionais baseados no kernel Linux. O invasor pressionou com sucesso o mantenedor a entregar permissões de commit de código, explorando a admissão pública de esgotamento do desenvolvedor e a falta de motivação para continuar com o projeto. Se o ataque tivesse sido concluído, os danos teriam sido impressionantes, dado que cerca de 80% dos servidores do mundo rodam em Linux.
O que poderia vazar?
O que esses aplicativos coletam e armazenam? É o tipo de coisa que você provavelmente só compartilharia com um médico de confiança: transcrições de sessões de terapia, registros de humor, horários de medicamentos, indicadores de automutilação, notas de TCC e várias escalas de avaliação clínica.
Já em 2021, registros médicos completos eram vendendo na dark web por US$ 1.000 cada. Para efeito de comparação, um número de cartão de crédito roubado custa algo entre US$ 5 e US$ 30. Os registros médicos contêm um pacote completo de identidade: nome, endereço, detalhes do seguro e histórico de diagnóstico. Ao contrário de um cartão de crédito, você não pode “reemitir” exatamente seu histórico médico. Além disso, a fraude médica é notoriamente difícil de detectar. Embora um banco possa sinalizar uma transação suspeita em horas, uma reclamação de seguro fraudulenta para um tratamento fantasma pode passar despercebida durante anos.
Já vimos esse filme antes
O estudo Oversecured não é apenas uma história de terror isolada.
Em 2020, Julius Kivimäki hackeou o banco de dados da clínica de psicoterapia finlandesa Vastaamofugindo dos registros de 33 mil pacientes. Quando a clínica se recusou a pagar um resgate de 400.000 euros, Kivimäki começou a enviar ameaças diretas aos pacientes: “Pague 200 euros em Bitcoin dentro de 24 horas, ou então os seus registos tornar-se-ão públicos”. No final das contas, ele vazou todo o banco de dados na dark web de qualquer maneira. Pelo menos duas pessoas morreram por suicídio e a clínica foi forçada à falência. Kivimäki acabou sendo condenado a seis anos e três meses de prisão, marcando um julgamento recorde na Finlândia pelo grande número de vítimas envolvidas.
Em 2023, a Comissão Federal de Comércio dos EUA (FTC) deu um tapa no gigante da terapia online BetterHelp com multa de US$ 7,8 milhões. Apesar de declarar em sua página de inscrição que seus dados eram estritamente confidenciais, a empresa foi pega canalizando informações do usuário – incluindo respostas de questionários de saúde mental, e-mails e endereços IP – para Facebook, Snapchat, Criteo e Pinterest para publicidade direcionada. Depois que a poeira baixou, 800.000 usuários afetados receberam um total de… US$ 10 cada como compensação.
Em 2024, a FTC voltou-se para o empresa de telessaúde Cerebralcobrando-lhes uma multa de US$ 7 milhões. Por meio de pixels de rastreamento, a Cerebral vazou dados de 3,2 milhões de usuários para LinkedIn, Snapchat e TikTok. A coleta incluiu nomes, históricos médicos, prescrições, datas de consultas e informações sobre seguros. E a cereja no topo? A empresa enviou cartões postais promocionais (sem envelopes) a 6.000 pacientes, que efetivamente divulgavam que os destinatários estavam em tratamento psiquiátrico.
Em setembro de 2024, o pesquisador de segurança Jeremiah Fowler tropeçou em um banco de dados exposto pertencente à Confidant Healthum provedor especializado em recuperação de dependências e serviços de saúde mental. O banco de dados continha gravações de áudio e vídeo de sessões de terapia, transcrições, notas psiquiátricas, resultados de testes de drogas e até cópias de carteiras de motorista. No total, 5,3 terabytes de dados, 126 mil arquivos ou 1,7 milhão de registros estavam ali sem senha.
Por que o anonimato é uma ilusão
Os desenvolvedores adoram deixar a linha: “Nunca compartilhamos seus dados pessoais com ninguém”. Tecnicamente, isso pode ser verdade – em vez disso, eles compartilham “perfis anônimos”. O problema? Desanonimizar esses dados não é mais exatamente uma ciência espacial. Recente pesquisar destaca que o uso de LLMs para eliminar o anonimato se tornou uma realidade rotineira.
Até o próprio processo de “anonimização” costuma ser uma bagunça. UM estudo da Duke University revelou que os corretores de dados estão vendendo abertamente os dados de saúde mental dos americanos. Dos 37 corretores entrevistados, 11 concordaram em vender dados ligados a diagnósticos específicos (como depressão, ansiedade e transtorno bipolar), parâmetros demográficos e, em alguns casos, até nomes e endereços residenciais. Os preços começaram em US$ 275 para 5.000 registros agregados.
De acordo com o Fundação Mozillaem 2023, 59% das aplicações populares de saúde mental não conseguiam cumprir nem mesmo os padrões de privacidade mais básicos e 40% tinham-se tornado menos seguros do que no ano anterior. Esses aplicativos permitiam a criação de contas por meio de serviços de terceiros (como Google, Apple e Facebook), apresentavam políticas de privacidade suspeitamente breves que encobriam os detalhes da coleta de dados e empregavam uma pequena brecha inteligente: algumas políticas de privacidade aplicadas estritamente ao site da empresa, mas não ao aplicativo em si. Resumindo, seus cliques no site estavam “protegidos”, mas suas ações dentro do aplicativo eram justas.
Como se proteger
Cortar totalmente esses aplicativos da sua vida é, obviamente, a opção mais infalível – mas não é a mais realista. Além disso, não há garantia de que você possa realmente destruir os dados já coletados – mesmo se você excluir sua conta. Anteriormente, cobrimos o árduo processo de limpar suas informações dos bancos de dados de corretores de dados; é possível, mas prepare-se para uma dor de cabeça. Então, como você pode ficar seguro?
- Verifique as permissões antes de clicar em “Instalar”. No Google Play, navegue até Descrição do aplicativo → Sobre este aplicativo → Permissões. Um rastreador de humor não deve solicitar acesso à sua câmera, microfone, contatos ou localização GPS precisa. Se isso acontecer, não se trata de cuidar do seu bem-estar – mas sim de coletar dados.
- Na verdade, leia a política de privacidade. Nós entendemos – ninguém lê esses manifestos de várias páginas. Mas quando um serviço está aspirando seus pensamentos mais íntimos, vale a pena dar uma olhada. Procure os sinais de alerta: a empresa compartilha dados com terceiros? Você pode excluir manualmente seus registros? A política cobre explicitamente o aplicativo em si ou apenas o site? Você sempre pode inserir o texto da política em uma IA e solicitar que ela sinalize qualquer violação do acordo de privacidade.
- Verifique a data da última atualização. Um aplicativo que não é atualizado há mais de seis meses é provavelmente um playground para vulnerabilidades não corrigidas. Lembre-se: seis dos 10 aplicativos testados pelo Oversecured não eram tocados há meses.
- Desative tudo que não for essencial nas configurações de privacidade do seu telefone. Sempre que solicitado, selecione sempre “pedir para não rastrear”. Quando um aplicativo implora para você ativar um tipo específico de rastreamento – alegando que é para “otimização interna” – quase sempre é uma jogada de marketing e não uma necessidade funcional. Afinal, se o aplicativo realmente não funcionar sem uma determinada permissão, você poderá voltar e ativá-lo mais tarde.
- Não use serviços “Entrar com…”. A autenticação via Facebook, Apple, Google ou Microsoft cria identificadores adicionais e oferece às empresas uma oportunidade de ouro de vincular seus dados em diferentes plataformas.
- Trate tudo o que você digita como uma postagem pública nas redes sociais. Se você não deseja que um estranho aleatório na Internet o leia, provavelmente não deveria digitá-lo em um aplicativo com mais de 150 vulnerabilidades que não recebeu correção desde o ano retrasado.
O que mais você deve saber sobre configurações de privacidade e controle de seus dados pessoais online:
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.