Российский магазин приложений, RuStore, по данным исследования, использует методы, позволяющие незаметно устанавливать приложения и собирать широкий набор данных о смартфоне и его владельце.
Скрытая установка
По версии исследователя, RuStore может инициировать «тихую» установку новых приложений — без видимых запросов и уведомлений для пользователя. Такой механизм, как утверждается, использовался для установки мессенджера Max.
Определение местоположения
Магазин регулярно фиксирует местоположение устройства даже при отключённом GPS: данные определяются по сети, сотовым вышкам и MAC‑адресу роутера. По мнению авторов исследования, такой набор источников достаточно для точного геопозиционирования.
Слежка за установленными приложениями
Исследование указывает, что RuStore отправляет на удалённые серверы полный «слепок» устройства: список установленных VPN, банковских приложений, защищённых мессенджеров и сторонних магазинов, привязывая эти данные к аппаратному идентификатору смартфона, а также передаёт сведения о том, как часто и как долго пользователь запускает приложения.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — говорится в исследовании.
Мониторинг галереи
Внутри RuStore обнаружен сторонний антивирусный SDK, который постоянно сканирует директории DCIM и Pictures, где хранятся личные фотографии пользователя. Авторы исследования считают, что интеграция такого SDK привела к «архитектурному Франкенштейну», нарушающему принципы приватности.
Можно ли удалить цифровой отпечаток?
Если выводы исследования верны, отсканированный «слепок» уже отправлен на сервер и привязан к ID устройства, то есть полностью устранить его следы может быть невозможно.
Как отключить RuStore
Авторы исследования рекомендуют подключить Android‑смартфон по USB в режим отладки к компьютеру с Android Platform Tools и выполнить в терминале команды ADB: adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После этого режим отладки следует отключить.
На iPhone RuStore не существует, однако ряд других приложений для iOS и Android ещё недостаточно изучен и тоже может представлять риски для безопасности.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все телефоны, продаваемые в России. С сентября прошлого года также действует требование предустанавливать мессенджер Max.
