{"id":24823,"date":"2026-03-17T10:05:19","date_gmt":"2026-03-17T13:05:19","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24823"},"modified":"2026-03-17T10:01:58","modified_gmt":"2026-03-17T13:01:58","slug":"mental-health-apps-issues-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/mental-health-apps-issues-2026\/24823\/","title":{"rendered":"Vazamento de dados mentais: vulnerabilidades em aplicativos de sa\u00fade mental"},"content":{"rendered":"

Em fevereiro de 2026, a empresa de seguran\u00e7a cibern\u00e9tica Oversecured publicou um relat\u00f3rio que faz com que voc\u00ea queira redefinir o telefone para o padr\u00e3o de f\u00e1brica e se mudar para uma cabana remota na floresta. Os pesquisadores fizeram uma auditoria<\/a> em 10 aplicativos populares de sa\u00fade mental para Android, desde aplicativos de acompanhamento de humor e terapeutas de IA at\u00e9 ferramentas para gerenciar depress\u00e3o e ansiedade, e descobriram 1.575 vulnerabilidades! Cinquenta e quatro dessas falhas foram classificadas como cr\u00edticas. Dadas as estat\u00edsticas de download desses aplicativos no Google Play, \u00e9 prov\u00e1vel que 15 milh\u00f5es de pessoas sejam afetadas. Quer saber qual \u00e9 a ironia? Seis dos dez aplicativos testados fizeram promessas expl\u00edcitas aos usu\u00e1rios de que seus dados estavam \u201ctotalmente criptografados e protegidos\u201d.<\/p>\n

Vamos analisar esses escandalosos \u201cvazamentos de dados mentais\u201d: o que exatamente pode vazar, como isso acontece e por que o \u201canonimato\u201d nesses servi\u00e7os geralmente n\u00e3o passa de um mito.<\/p>\n

O que foi encontrado nos aplicativos<\/h2>\n

A Oversecured \u00e9 uma empresa de seguran\u00e7a de aplicativos m\u00f3veis que usa um verificador especializado para analisar arquivos APK em busca de padr\u00f5es de vulnerabilidade conhecidos em dezenas de categorias. Em janeiro de 2026, alguns pesquisadores analisaram dez aplicativos de monitoramento de sa\u00fade mental do Google Play por meio do verificador, e os resultados foram, digamos, \u201cespetaculares\u201d.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Tipo de aplicativo<\/td>\nInstala\u00e7\u00f5es<\/td>\nVulnerabilidades de seguran\u00e7a<\/td>\n<\/tr>\n
Gravidade alta<\/td>\nGravidade m\u00e9dia<\/td>\nGravidade baixa<\/td>\nTotal<\/td>\n<\/tr>\n
Rastreador de humor e h\u00e1bitos<\/td>\nMais de 10 milh\u00f5es<\/td>\n1<\/td>\n147<\/td>\n189<\/td>\n337<\/td>\n<\/tr>\n
Chatbot de terapia de IA<\/td>\nMais de 1 milh\u00e3o<\/td>\n23<\/td>\n63<\/td>\n169<\/td>\n255<\/td>\n<\/tr>\n
Plataforma de sa\u00fade emocional de IA<\/td>\nMais de 1 milh\u00e3o<\/td>\n13<\/td>\n124<\/td>\n78<\/td>\n215<\/td>\n<\/tr>\n
Rastreador de sa\u00fade e sintomas<\/td>\nMais de 500 mil<\/td>\n7<\/td>\n31<\/td>\n173<\/td>\n211<\/td>\n<\/tr>\n
Ferramenta de gerenciamento da depress\u00e3o<\/td>\nMais de 100 mil<\/td>\n0<\/td>\n66<\/td>\n91<\/td>\n157<\/td>\n<\/tr>\n
Aplicativo de ansiedade baseado em TCC<\/td>\nMais de 500 mil<\/td>\n3<\/td>\n45<\/td>\n62<\/td>\n110<\/td>\n<\/tr>\n
Terapia on-line e comunidade de apoio<\/td>\nMais de 1 milh\u00e3o<\/td>\n7<\/td>\n20<\/td>\n71<\/td>\n98<\/td>\n<\/tr>\n
Autoajuda para ansiedade e fobia<\/td>\nMais de 50 mil<\/td>\n0<\/td>\n15<\/td>\n54<\/td>\n69<\/td>\n<\/tr>\n
Gerenciamento de estresse militar<\/td>\nMais de 50 mil<\/td>\n0<\/td>\n12<\/td>\n50<\/td>\n62<\/td>\n<\/tr>\n
Chatbot AI CBT<\/td>\nMais de 500 mil<\/td>\n0<\/td>\n15<\/td>\n46<\/td>\n61<\/td>\n<\/tr>\n
Total<\/strong><\/td>\nMais de 14,7 milh\u00f5es<\/strong><\/td>\n54<\/strong><\/td>\n538<\/strong><\/td>\n983<\/strong><\/td>\n1575<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Vulnerabilidades encontradas nos 10 aplicativos de sa\u00fade mental testados. Fonte<\/a><\/p>\n<\/div>\n

A anatomia das falhas<\/h2>\n

As vulnerabilidades descobertas s\u00e3o diversas, mas seu prop\u00f3sito \u00e9 o mesmo: dar aos invasores acesso a dados que deveriam estar trancados a sete chaves.<\/p>\n

Para come\u00e7ar, uma das vulnerabilidades permite que um invasor acesse quaisquer atividades internas do aplicativo, inclusive aquelas que deveriam ser sigilosas. Isso permite o sequestro de tokens de autentica\u00e7\u00e3o e dados de sess\u00e3o do usu\u00e1rio. Uma vez que um invasor obtiver essas informa\u00e7\u00f5es, ele poder\u00e1 acessar os registros de terapia de um usu\u00e1rio.<\/p>\n

Outro problema \u00e9 o armazenamento de dados local inseguro, com permiss\u00f5es de leitura concedidas a qualquer outro aplicativo no dispositivo. Em outras palavras, aplicativos aleat\u00f3rios no seu telefone, como a lanterna ou a calculadora, poderiam ler seus registros de terapia cognitivo-comportamental (TCC), notas pessoais e avalia\u00e7\u00f5es de humor.<\/p>\n

Os pesquisadores tamb\u00e9m encontraram dados de configura\u00e7\u00e3o n\u00e3o criptografados inseridos diretamente nos arquivos de instala\u00e7\u00e3o do APK. Isso inclui endpoints da API de back-end e URLs codificadas para bancos de dados do Firebase.<\/p>\n

Al\u00e9m disso, foi identificado que v\u00e1rios aplicativos usam a classe java.util.Random<\/em>, conhecida por ter uma criptografia fraca, para gerar tokens de sess\u00e3o e chaves de criptografia.<\/p>\n

Por fim, a maioria dos aplicativos testados n\u00e3o tinha detec\u00e7\u00e3o de root\/jailbreak. Em um dispositivo com root, qualquer aplicativo de terceiros com privil\u00e9gios de root pode obter acesso total a cada bit dos dados m\u00e9dicos armazenados localmente.<\/p>\n

\u00c9 de se espantar que, dos 10 aplicativos analisados, apenas quatro receberam atualiza\u00e7\u00f5es em fevereiro de 2026. O restante n\u00e3o viu um patch desde novembro de 2025 e h\u00e1 um aplicativo que n\u00e3o foi atualizado desde setembro de 2024. Passar 18 meses sem um patch de seguran\u00e7a \u00e9 considerado um longo tempo nesse setor, especialmente para um aplicativo que cont\u00e9m di\u00e1rios de humor, transcri\u00e7\u00f5es de terapia e hor\u00e1rios de ingest\u00e3o de medicamentos.<\/p>\n

Aqui est\u00e1 um r\u00e1pido lembrete do perigo do uso indevido desse tipo de dados. Em 2024, o mundo da tecnologia foi abalado por um ataque sofisticado ao XZ Utils<\/a>, um componente cr\u00edtico encontrado em praticamente todos os sistemas operacionais baseados no kernel Linux. O invasor conseguiu convencer o respons\u00e1vel pelo projeto a entregar as permiss\u00f5es de altera\u00e7\u00e3o de c\u00f3digos, aproveitando-se da sua admiss\u00e3o p\u00fablica de cansa\u00e7o extremo e falta de motiva\u00e7\u00e3o para manter o projeto. Se o ataque tivesse sido conclu\u00eddo, o dano teria sido inimagin\u00e1vel, uma vez que cerca de 80% dos servidores do mundo executam o Linux.<\/p>\n

O que pode vazar?<\/h2>\n

O que esses aplicativos coletam e armazenam? \u00c9 o tipo de coisa que voc\u00ea provavelmente s\u00f3 compartilharia com um m\u00e9dico de confian\u00e7a: transcri\u00e7\u00f5es de sess\u00f5es de terapia, registros de humor, hor\u00e1rios de medica\u00e7\u00e3o, indicadores de automutila\u00e7\u00e3o, notas de TCC e v\u00e1rias escalas de avalia\u00e7\u00e3o cl\u00ednica.<\/p>\n

Em 2021, registros m\u00e9dicos completos eram vendidos na dark web por US$ 1,000 cada<\/a>. Para efeito de compara\u00e7\u00e3o, um n\u00famero de cart\u00e3o de cr\u00e9dito roubado custa entre US$ 5 e US$ 30. Os registros m\u00e9dicos cont\u00eam um pacote de identidade completo: nome, endere\u00e7o, informa\u00e7\u00f5es do seguro e hist\u00f3rico de diagn\u00f3stico. Ao contr\u00e1rio de um cart\u00e3o de cr\u00e9dito, n\u00e3o h\u00e1 como \u201creemitir\u201d um hist\u00f3rico m\u00e9dico. Al\u00e9m disso, todos sabem que a fraude m\u00e9dica \u00e9 dif\u00edcil de detectar. Embora um banco consiga detectar uma transa\u00e7\u00e3o suspeita em horas, um pedido de seguro fraudulento para um tratamento inexistente pode passar despercebido por anos.<\/p>\n

J\u00e1 vimos este filme antes<\/h2>\n

O estudo da Oversecured n\u00e3o \u00e9 apenas uma hist\u00f3ria de terror isolada.<\/p>\n

Em 2020, Julius Kivim\u00e4ki invadiu o banco de dados da cl\u00ednica de psicoterapia finlandesa Vastaamo<\/a>, acessando os registros de 33 mil pacientes. Quando a cl\u00ednica se recusou a desembolsar um resgate de 400 mil euros, Kivim\u00e4ki passou a enviar amea\u00e7as diretas aos pacientes: \u201cPague 200 euros em Bitcoin dentro de 24 horas, ou ent\u00e3o seus registros se tornar\u00e3o p\u00fablicos.\u201d Por fim, ele acabou vazando todo o banco de dados na dark web. Pelo menos duas pessoas se suicidaram, fazendo com que a cl\u00ednica fosse for\u00e7ada a declarar fal\u00eancia. Kivim\u00e4ki acabou sendo condenado a seis anos e tr\u00eas meses de pris\u00e3o, tornando este um julgamento recorde na Finl\u00e2ndia devido ao grande n\u00famero de v\u00edtimas envolvidas.<\/p>\n

Em 2023, a Comiss\u00e3o Federal de Com\u00e9rcio dos EUA (FTC) aplicou uma multa de US$ 7,8 milh\u00f5es \u00e0 BetterHelp, uma empresa gigante de terapia on-line<\/a>. Apesar de declarar na sua p\u00e1gina de inscri\u00e7\u00e3o que os dados dos usu\u00e1rios eram estritamente confidenciais, a empresa foi pega repassando suas informa\u00e7\u00f5es (incluindo respostas a question\u00e1rios de sa\u00fade mental, e-mails e endere\u00e7os IP) ao Facebook, Snapchat, Criteo e Pinterest para fins de publicidade direcionada. Depois que a poeira baixou, 800 mil usu\u00e1rios afetados receberam um total geral de US$ 10 cada como compensa\u00e7\u00e3o.<\/p>\n

Em 2024, a FTC voltou sua aten\u00e7\u00e3o \u00e0 empresa de telessa\u00fade Cerebral<\/a>, multando-a em US$ 7 milh\u00f5es. Por meio de pixels de rastreamento<\/a>, a Cerebral vazou os dados de 3,2 milh\u00f5es de usu\u00e1rios para o LinkedIn, Snapchat e TikTok. O vazamento inclu\u00eda nomes, hist\u00f3ricos m\u00e9dicos, prescri\u00e7\u00f5es de medicamentos, datas de consultas e informa\u00e7\u00f5es de seguro. Quer saber o que \u00e9 pior? A empresa enviou cart\u00f5es-postais promocionais (sem envelopes) para 6 mil pacientes, revelando que os destinat\u00e1rios estavam em tratamento psiqui\u00e1trico.<\/p>\n

Em setembro de 2024, o pesquisador de seguran\u00e7a Jeremiah Fowler descobriu que um banco de dados pertencente \u00e0 Confidant Health<\/a>, um provedor especializado na recupera\u00e7\u00e3o de v\u00edcios e servi\u00e7os de sa\u00fade mental, havia sido exposto. O banco de dados continha grava\u00e7\u00f5es de \u00e1udio e v\u00eddeo de sess\u00f5es de terapia, transcri\u00e7\u00f5es, anota\u00e7\u00f5es psiqui\u00e1tricas, resultados de testes de drogas e at\u00e9 c\u00f3pias de carteiras de motorista. No total, 5,3 terabytes de dados, 126.000 arquivos ou 1,7 milh\u00e3o de registros podiam ser acessados sem senha.<\/p>\n

Por que o anonimato \u00e9 uma ilus\u00e3o<\/h2>\n

Os desenvolvedores adoram a frase: \u201cNunca compartilhamos seus dados pessoais com ningu\u00e9m\u201d. Tecnicamente, isso pode ser verdade, j\u00e1 que, em vez disso, eles compartilham \u201cperfis an\u00f4nimos\u201d. A pegadinha? Hoje \u00e9 muito mais f\u00e1cil descobrir a identidade real das pessoas por tr\u00e1s desses perfis. Pesquisas<\/a> recentes revelaram que o uso de LLMs para eliminar o anonimato se tornou uma realidade rotineira.<\/p>\n

At\u00e9 mesmo o pr\u00f3prio processo de \u201canonimiza\u00e7\u00e3o\u201d \u00e9 muitas vezes uma bagun\u00e7a. Um estudo da Duke University<\/a> revelou que as corretoras de dados est\u00e3o divulgando abertamente os dados de sa\u00fade mental dos americanos. Das 37 corretoras pesquisadas, 11 concordaram em vender dados vinculados a diagn\u00f3sticos espec\u00edficos (como depress\u00e3o, ansiedade e transtorno bipolar), par\u00e2metros demogr\u00e1ficos e, em alguns casos, at\u00e9 nomes e endere\u00e7os residenciais. Os pre\u00e7os come\u00e7aram em US$ 275 para 5 mil registros agregados.<\/p>\n

De acordo com a Funda\u00e7\u00e3o Mozilla<\/a>, em 2023, 59% dos aplicativos populares de sa\u00fade mental falharam em atender at\u00e9 mesmo aos padr\u00f5es de privacidade mais b\u00e1sicos e 40% se tornaram menos seguros do que no ano anterior. Esses aplicativos permitiam a cria\u00e7\u00e3o de contas por meio de servi\u00e7os de terceiros (como Google, Apple e Facebook), apresentavam pol\u00edticas de privacidade suspeitas e resumidas que citavam de forma leviana as informa\u00e7\u00f5es sobre a coleta de dados e continham uma pequena brecha inteligente: algumas pol\u00edticas de privacidade se aplicavam estritamente ao site da empresa, mas n\u00e3o ao aplicativo em si. Em resumo, seus cliques no site estavam \u201cprotegidos\u201d, mas suas a\u00e7\u00f5es dentro do aplicativo podiam ser monitoradas.<\/p>\n

Como se proteger<\/h2>\n

Abolir totalmente esses aplicativos da sua vida \u00e9, obviamente, a op\u00e7\u00e3o mais infal\u00edvel, mas n\u00e3o \u00e9 a mais realista. Al\u00e9m disso, n\u00e3o h\u00e1 garantia de que voc\u00ea possa realmente destruir os dados j\u00e1 coletados, mesmo se excluir sua conta. N\u00f3s j\u00e1 falamos sobre o processo extenuante de remover suas informa\u00e7\u00f5es dos bancos de dados das corretoras de dados<\/a>; \u00e9 poss\u00edvel, mas gera uma enorme dor de cabe\u00e7a. Ent\u00e3o, o que fazer para se manter seguro?<\/p>\n