Кратко
Исследование утверждает, что российский магазин приложений может инициировать «тихую» установку приложений без видимых запросов и уведомлений, собирать данные о местоположении и списке установленных программ, а также мониторить галерею пользователя. Авторы считают свои методы воспроизводимыми, поэтому ожидают подтверждения результатов другими исследователями.
Скрытая установка
По оценке исследователей, магазин способен незаметно устанавливать новые приложения: пользователю не показывают запросы и уведомления. Именно таким способом, как полагают авторы, мог быть установлен мессенджер Max на устройства пользователей.
Определение местоположения
Магазин регулярно фиксирует местоположение, в том числе при выключенном GPS. Для этого используются данные сети — определение по сотовым вышкам, по MAC‑адресу роутера и другие сетевые признаки. По мнению автора исследования, такой набор данных достаточен для точного геопозиционирования даже без спутникового приёма.
Слежка за приложениями
Исследование показывает, что магазин регулярно отправляет на серверы оператора «полный слепок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры или сторонние магазины используются. Этот список привязывается к аппаратному идентификатору смартфона и содержит данные о том, как часто и как долго пользователь запускает те или иные приложения.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — отмечает автор исследования.
Доступ к галерее
Внутри магазина используется антивирусный SDK, который постоянно мониторит директории DCIM и Pictures, где хранятся личные фотографии. Автор указывает на архитектурные проблемы в интеграции стороннего SDK, что привело к потенциально избыточному доступу к данным пользователей.
Можно ли удалить цифровой отпечаток?
Если выводы исследования верны, то уже отправленный «слепок» устройства привязан к аппаратному ID и удалить его на стороне сервера пользователь не может.
Как отключить RuStore на Android
Исследователи предлагают временно отключить магазин через Android Debug Bridge. Для этого подключите смартфон по USB в режиме отладки и выполните в терминале команды: adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки можно отключить.
iPhone
На iPhone такого магазина нет, но часть других российских приложений также может представлять угрозу безопасности — они ещё не были полностью изучены.
Контекст
С апреля 2024 года магазин должен предустанавливаться на все телефоны, продаваемые в РФ. С сентября прошлого года правительство также обязало предустанавливать мессенджер Max.
