Исследователь выявил, что российский магазин приложений RuStore может без уведомлений устанавливать приложения, собирать данные о местоположении и перечне установленных программ, а также получать доступ к фотографиям пользователя через встроенные SDK.
Ключевые выводы
- Тихая установка: магазин может инициировать «тихую» установку приложений без показов запросов и уведомлений.
- Геолокация: сбор координат выполняется регулярно и возможен даже при выключенном GPS — по сети, вышкам и MAC‑адресу роутера.
- Мониторинг приложений: отправляется полный «слепок» устройства: какие VPN, банки, защищённые мессенджеры и сторонние магазины установлены, привязанный к аппаратному ID, с данными о частоте и длительности запуска.
- Доступ к галерее: встроенный антивирусный SDK отслеживает директории с фотографиями (DCIM, Pictures).
Автор исследования отмечает, что комбинация собранных данных позволяет точно идентифицировать и геолокатировать устройство, а также получить подробную картину активности пользователя.
Что происходит с «слепком» устройства
Если выводы верны, отсканированный профиль уже отправлен на сервер и прочно привязан к аппаратному идентификатору: удалить этот «цифровой отпечаток» после отправки нельзя.
Как временно отключить RuStore на Android
Для отключения приложения на Android предлагается использовать Android Debug Bridge. Подключите смартфон по USB в режиме отладки и выполните в терминале:adb devicesadb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки можно отключить.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на продаваемые в России телефоны. Ранее также вводились требования по предустановке отечественного мессенджера на устройства.
