Независимые исследователи выяснили, что магазин приложений RuStore способен устанавливать программы без уведомлений, регулярно определять местоположение, собирать подробную информацию об установленных приложениях и мониторить содержимое галереи через встроенные SDK.
Ключевые выводы
- Тихая установка: магазин может инициировать «тихую» установку приложений — без видимых запросов и уведомлений. По мнению автора исследования, этим методом могли воспользоваться для установки мессенджера Max.
- Отслеживание местоположения: RuStore регулярно фиксирует координаты даже при выключенном GPS, определяя позицию по сети, сотовым вышкам и MAC‑адресу роутера.
- Слежка за приложениями: на серверы отправляется полный «слепок» устройства — список VPN, банковских и защищённых мессенджеров, сторонних магазинов и частота их использования; всё это привязывается к аппаратному ID.
- Мониторинг галереи: встроенный антивирусный SDK сканирует каталоги с фотографиями (DCIM, Pictures), что даёт доступ к личным изображениям.
- Архитектурные проблемы: исследователь описывает сочетание компонентов как «архитектурный Франкенштейн», нарушающий базовые принципы безопасности.
Можно ли удалить цифровой отпечаток?
Если выводы верны, то уже отправленный на сервер «слепок» устройства привязан к аппаратному идентификатору и удалить его нельзя — данные остаются у разработчиков.
Как отключить RuStore
Для отключения на Android исследователи предлагают включить режим отладки по USB, подключить телефон к компьютеру с Android Platform Tools и выполнить в терминале команды: adb devices. После этого режим отладки следует выключить.
adb shell pm disable‑user --user 0 ru.vk.store
Особенности для iPhone
RuStore отсутствует на iPhone, но исследователи предупреждают, что ряд других российских приложений пока недостаточно изучен и может представлять угрозу безопасности.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все телефоны, продаваемые в России. Кроме того, с сентября прошлого года есть требование предустанавливать мессенджер Max.
