Kết quả cho thấy, 1.575 lỗ hổng đã được phát hiện, trong đó có 54 lỗ hổng mức độ cao và 538 lỗ hổng mức trung bình. Dù không có lỗ hổng nào được xếp loại nghiêm trọng nhưng nhiều lỗ hổng hoàn toàn có thể bị khai thác để đánh cắp thông tin đăng nhập, chèn mã HTML, giả mạo thông báo hoặc truy cập trái phép vào dữ liệu trị liệu của người dùng.
Đáng chú ý, một số ứng dụng xử lý dữ liệu gửi từ bên ngoài nhưng không kiểm soát chặt quyền truy cập bên trong, cho phép kẻ tấn công ép ứng dụng mở các chức năng nội bộ liên quan đến đăng nhập và phiên làm việc. Nếu bị khai thác, tin tặc có thể truy cập trái phép dữ liệu trị liệu cá nhân. Bên cạnh đó, nhiều ứng dụng lưu trữ thông tin trên thiết bị thiếu cơ chế bảo vệ, khiến các ứng dụng khác có thể đọc được nhật ký trị liệu, ghi chú CBT (liệu pháp nhận thức – hành vi) và dữ liệu đánh giá tâm lý.
Ngoài ra, các nhà nghiên cứu phát hiện việc nhúng sẵn thông tin hệ thống nhạy cảm trong gói cài đặt và sử dụng cơ chế tạo mã ngẫu nhiên không đảm bảo an toàn, làm tăng nguy cơ bị chiếm quyền truy cập. Đáng lo ngại hơn, phần lớn ứng dụng không phát hiện thiết bị đã chiếm quyền root, khiến dữ liệu sức khỏe dễ bị phần mềm độc hại thu thập trái phép.
Dữ liệu sức khỏe tâm thần là mục tiêu có giá trị cao trên chợ đen với mỗi hồ sơ trị liệu có thể được rao bán với giá lên tới 1.000 USD (~ 26 triệu đồng). Do các ứng dụng này được phân phối công khai qua Google Play, người dùng Việt Nam hoàn toàn có khả năng đã cài đặt và chịu ảnh hưởng nếu lỗ hổng chưa được vá.
Trong khi chờ vá lỗi, người dùng nên hạn chế chia sẻ thông tin nhạy cảm, cập nhật ứng dụng thường xuyên và không sử dụng các app này trên thiết bị đã root nhằm giảm thiểu nguy cơ rò rỉ dữ liệu.
