Исследование показывает, что российский магазин приложений RuStore способен незаметно устанавливать мессенджер Max и собирать широкие данные о пользователях.
Основные выводы
- Скрытая установка: магазин может инициировать «тихую» установку приложений без показа запросов и уведомлений пользователю.
- Геолокация: RuStore регулярно фиксирует местоположение даже при выключенном GPS — определяя координаты по сети, сотовым вышкам и MAC‑адресу роутера.
- Слежка за приложениями: на сервер отправляется полный «слепок» устройства — список используемых VPN, банковских приложений, защищённых мессенджеров и сторонних магазинов; данные привязываются к аппаратному ID и содержат статистику запусков.
- Мониторинг галереи: встроенный антивирусный SDK регулярно сканирует каталоги с фотографиями (DCIM, Pictures).
- Невозвратный отпечаток: если выводы верны, уже отправленные данные привязаны к ID устройства и их нельзя полностью убрать.
Автор исследования называет это «наглой, ничем не оправданной слежкой» и отмечает архитектурные недостатки в реализации магазина.
Как отключить RuStore
Для Android исследователи предлагают подключить смартфон по USB в режиме отладки (ADB) и выполнить в терминале следующие команды: adb devices. После этого режим отладки рекомендуется выключить.
adb shell pm disable‑user --user 0 ru.vk.store
На iPhone RuStore отсутствует, но ряд других приложений пока не исследован и также может представлять угрозу безопасности.
Контекст
С апреля 2024 года RuStore должен предустанавливаться на все телефоны, продаваемые в РФ. С сентября прошлого года правительство также обязало предустанавливать мессенджер Max.
