Исследователи выяснили, что российский магазин приложений может без уведомлений устанавливать ПО, регулярно фиксировать геопозицию, собирать сведения о других приложениях и сканировать личные фотографии на устройстве.
Основные выводы
- Скрытая установка. Магазин способен инициировать «тихую» установку приложений — без отображения запросов и уведомлений; исследователи полагают, что таким образом на устройства могли массово попасть мессенджер Max.
- Геопозиция. Приложение регулярно фиксирует местоположение даже при выключенном GPS, определяя координаты по сети, сотовым вышкам и MAC‑адресу роутера — этого достаточно для точного позиционирования.
- Слежка за приложениями. На серверы отправляется полный «слепок» устройства: какие VPN, банки, защищённые мессенджеры или сторонние магазины установлены, привязанный аппаратный ID и данные о частоте и длительности запуска программ.
- Мониторинг галереи. Встроенный антивирусный SDK постоянно сканирует папки DCIM и Pictures, где хранятся личные фотографии, что даёт доступ к изображениям и метаданным.
«В результате получился архитектурный Франкенштейн, нарушающий все мыслимые правила», — отмечает автор исследования.
Последствия для пользователей
Если выводы исследования верны, то собранный «слепок» уже отправлен на сервер и привязан к аппаратному идентификатору устройства — полностью удалить такой цифровой отпечаток уже нельзя.
Как отключить RuStore на Android
Исследователи рекомендуют подключить Android‑устройство по USB в режим отладки и выполнить в терминале набор команд Android Debug Bridge:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки следует отключить.
На iPhone RuStore отсутствует, однако ряд других приложений требует дополнительного анализа на предмет угроз безопасности.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все телефоны, продаваемые в РФ. Ранее правительство обязало предустанавливать мессенджер Max.
