Исследование показывает, что магазин приложений RuStore обладает возможностями для «тихой» установки приложений без видимых запросов и уведомлений, а также регулярно собирает широкий набор данных с устройств пользователей.
Что обнаружили
- Скрытая установка. Магазин может инициировать «тихую» установку приложений — пользователю не показывают диалоги подтверждения и уведомления.
- Сбор местоположения. RuStore фиксирует координаты даже при выключенном GPS, определяя позицию по сети, сотовым вышкам и MAC‑адресу роутера, что, по мнению авторов, достаточно для точного геопозиционирования.
- Слежка за приложениями. На серверы магазина регулярно отправляются данные о том, какие VPN, банки, защищённые мессенджеры и сторонние магазины установлены, а также информация о частоте и длительности их запуска — эти данные привязываются к аппаратному ID устройства.
- Доступ к галерее. Встроенный антивирусный SDK сканирует папки с фотографиями (DCIM, Pictures), что даёт доступ к личным изображениям пользователя.
Авторы исследования характеризуют такой сбор данных как чрезмерный и не обоснованный с точки зрения защиты устройства или пользователя.
Можно ли удалить цифровой отпечаток?
Если выводы верны, то нет: «слепок» устройства уже мог быть отправлен на сервер и привязан к уникальному идентификатору смартфона, что делает удаление этого следа невозможным на стороне пользователя.
Как отключить RuStore
Авторы исследования предлагают временное решение для Android: подключить смартфон к компьютеру по USB в режиме отладки и выполнить команды Android Debug Bridge. После выполнения команд режим отладки следует отключить.
adb devicesadb shell pm disable‑user --user 0 ru.vk.store
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все продаваемые в РФ телефоны. С осени прошлого года также действует требование предустановки мессенджера Max.
