Кратко о главном
По результатам исследовательской проверки, российский магазин приложений собирает данные о местоположении пользователей, отслеживает другие установленные приложения и мониторит директории с фотографиями. Авторы отмечают, что методы исследования воспроизводимы и ожидают независимой верификации.
Скрытая установка
Магазин может инициировать «тихую» установку новых приложений: пользователю не показываются запросы и уведомления. Исследователи считают, что этот механизм использовался для скрытой установки мессенджера на телефоны пользователей.
Фиксация местоположения
Магазин регулярно фиксирует координаты пользователей даже при выключенном GPS. Для этого используются данные сети, сотовых вышек и MAC‑адрес роутера, что, по мнению авторов, достаточно для точного геопозиционирования.
Слежка за установленными приложениями
Исследование указывает, что магазин отправляет на серверы «полный слепок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры или сторонние магазины есть в системе. Этот список привязывается к аппаратному идентификатору смартфона, а также включаются данные о том, как часто и как долго пользователь запускает те или иные приложения.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью».
Мониторинг галереи
В состав магазина встроен сторонний антивирусный SDK, который постоянно просматривает директории с личными фотографиями (DCIM и Pictures). Авторы отмечают, что разработчики просто встроили этот SDK "как есть", что привело к архитектурным проблемам в приложении.
«В результате получился архитектурный Франкенштейн, нарушающий все мыслимые правила».
Можно ли убрать цифровой отпечаток?
Если выводы исследования верны, то полностью удалить уже созданный «слепок» нельзя: он был отправлен на сервер и привязан к ID устройства.
Как отключить магазин на Android
Исследователи предлагают отключить приложение через ADB. Для этого подключите смартфон по USB в режиме отладки и выполните команды:
adb devicesadb shell pm disable‑user --user 0 ru.vk.store
iPhone и другие риски
На iPhone описываемого магазина нет, однако другие российские приложения также могут представлять угрозу безопасности и пока недостаточно изучены.
Контекст
С апреля 2024 года такой магазин должен предустанавливаться на все телефоны, продаваемые в России. Также с осени прошлого года правительство обязало предустанавливать национальный мессенджер.
