Новое исследование указывает на то, что отечественный магазин приложений использует методы, позволяющие незаметно устанавливать софт и собирать подробные данные о пользователях. Авторы считают находки воспроизводимыми и ожидают верификации от других специалистов.
Тихая установка
По версии исследователя, магазин может инициировать «тихую» установку новых приложений: пользователь не получает запросов и уведомлений. Именно такой механизм, по мнению автора, мог использовался для установки мессенджера на устройства без явного согласия владельцев.
Отслеживание местоположения
Магазин регулярно фиксирует местоположение даже при выключенном GPS: помимо спутниковых данных он определяет координаты по сети, по базовым станциям сотовой связи и по MAC‑адресу роутера. Исследователь отмечает, что такой набор данных позволяет достаточно точно геолокациюить устройство.
Слежка за установленными приложениями
В отчёте говорится, что магазин периодически отправляет на сервер «полный слепок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры или сторонние магазины используются. Этот список привязывается к аппаратному идентификатору и включает данные о частоте и длительности запуска приложений.
«Наглая, ничем не оправданная слежка за вашей активностью», — так описывает ситуацию автор исследования.
Мониторинг галереи
Внутри магазина интегрирован сторонний антивирусный SDK, который постоянно сканирует каталоги DCIM и Pictures, где хранятся личные фотографии. Исследователь критикует архитектуру решения и называет её «архитектурным Франкенштейном», нарушающим базовые принципы защиты данных.
Можно ли удалить цифровой отпечаток?
Если выводы исследования верны, отсканированный «слепок» устройства уже отправлен на сервер и привязан к ID устройства, то есть удалить его задним числом нельзя.
Как временно отключить RuStore на Android
В исследовании предлагают подключить Android‑смартфон к компьютеру по USB в режиме отладки и выполнить команды Android Debug Bridge в терминале:adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После этого режим отладки следует отключить.
Контекст
С апреля 2024 года планируется предустановка RuStore на все телефоны, продаваемые в России. Кроме того, с сентября прошлого года действует требование о предустановке национального мессенджера.
