Главные выводы исследования
По результатам анализа, магазин приложений RuStore может незаметно инициировать установку новых приложений без запроса или уведомления пользователю, а также собирать обширные данные с устройства.
- Скрытая установка: возможна «тихая» инсталляция приложений без видимых запросов и уведомлений.
- Определение местоположения: координаты фиксируются не только через GPS, но и по сети, сотовым вышкам и MAC‑адресу роутера, что позволяет точно определять местоположение даже при выключенном GPS.
- Слежение за приложениями: на серверы регулярно отправляется «слепок» устройства — перечень VPN, банковских приложений, защищённых мессенджеров и сторонних магазинов, привязанный к аппаратному ID и содержащий данные о частоте и длительности запуска программ.
- Доступ к галерее: внутри RuStore обнаружен антивирусный SDK (Kaspersky SDK), который мониторит папки с фотографиями (DCIM, Pictures), то есть потенциально имеет доступ к личным снимкам.
- Архитектурные проблемы: комбинирование сторонних SDK и модулей привело к сложной и уязвимой архитектуре приложения.
Если выводы верны, уже отправленные на сервер «слепки» устройства привязаны к аппаратному идентификатору и не подлежат удалению с помощью обычных настроек.
Как временно отключить RuStore на Android
Исследователи предлагают временно отключить магазин через Android Debug Bridge. Для этого подключите телефон по USB в режиме отладки и выполните команды:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки следует отключить.
На iPhone RuStore отсутствует, но другие приложения могут представлять угрозу безопасности и пока не все из них исследованы.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все телефоны, продаваемые в России. Кроме того, с сентября прошлого года правительством предусмотрена обязанность предустанавливать российский мессенджер Max.
