Исследование: RuStore мог незаметно устанавливать приложения и собирать данные
Авторы исследования пришли к выводу, что российский магазин приложений способен инициировать «тихую» установку программ без видимых запросов и уведомлений пользователю. В качестве примера называется установка мессенджера Max.
Тихая установка
По данным исследования, магазин может запускать установку приложений так, что пользователь не видит запросов разрешений или диалогов подтверждения. Исследователи отмечают воспроизводимость методов и ожидают верификации со стороны других специалистов.
Отслеживание местоположения
Магазин регулярно фиксирует координаты пользователей даже при выключенном GPS: помимо спутниковых данных, для определения местоположения используются сеть, сотовые вышки и MAC‑адрес роутера. По оценке авторов, комбинации этих данных достаточно для точного геопозиционирования.
Слежка за приложениями
Исследование показывает, что на серверы компании‑оператора может отправляться «полный слепок устройства»: какие VPN и банковские приложения установлены, какие защищённые мессенджеры или сторонние магазины есть на телефоне. Этот список связывается с аппаратным ID смартфона и включает информацию о частоте и длительности запуска приложений.
Доступ к галерее через сторонний SDK
В составе магазина обнаружен сторонний антивирусный SDK, который сканирует стандартные директории с фотографиями (DCIM и Pictures). Авторы указывают, что интеграция этого SDK выглядит как «архитектурный Франкенштейн», нарушающий принятые практики приватности и безопасности.
Можно ли убрать цифровой отпечаток?
Если выводы исследования верны, уже отправленный «слепок» устройства привязан к аппаратному идентификатору и не подлежит удалению с устройства.
Как отключить RuStore на Android
Исследователи предлагают временно подключить Android‑телефон к компьютеру в режиме отладки и выполнить команды Android Debug Bridge (ADB) в терминале, после чего режим отладки следует отключить:adb devices
adb shell pm disable‑user --user 0 ru.vk.store
На iPhone указанного магазина нет, но исследователи предупреждают, что ряд других отечественных приложений пока не прошёл детального анализа и также может представлять риск для безопасности.
Контекст
С апреля 2024 года магазин RuStore должен предустанавливаться на продаваемые в России смартфоны. С сентября прошлого года также действует требование предустановки мессенджера Max.
