RuStore может тайно устанавливать приложения и собирать «слепок» устройства

Независимое исследование показывает, что магазин приложений умеет производить скрытую установку программ, собирать геоданные без включённого GPS и передавать на сервер подробную информацию о приложении и самом устройстве.

Что обнаружили исследователи

• Тихая установка: магазин способен инициировать установку приложений без запросов и уведомлений для пользователя — исследователи связывают это со случаями скрытой установки мессенджера.
• Отслеживание местоположения: координаты фиксируются регулярно даже при выключенном GPS — по сети, сотовым вышкам и MAC‑адресу роутера.
• Сбор данных об приложениях: на сервер отправляется «слепок» устройства — какие VPN, банки, защищённые мессенджеры и сторонние магазины установлены, привязанные к аппаратному ID, а также статистика запуска этих приложений.
• Доступ к галерее: внутри магазина обнаружен SDK, который постоянно сканирует папки DCIM и Pictures, где хранятся личные фотографии.
• Архитектура и безопасность: исследователи указывают на интеграцию стороннего антивирусного SDK без должной адаптации, что создаёт риски и нарушает практики безопасной разработки.

Авторы исследования отмечают, что описанные методы позволяют сформировать постоянный цифровой отпечаток устройства, который после отправки на сервер уже нельзя удалить.

Как отключить RuStore на Android

Для отключения магазина на Android исследователи рекомендуют подключить смартфон по USB в режиме отладки к компьютеру с установленными Android Platform Tools и выполнить команды ADB:

adb devices
adb shell pm disable‑user --user 0 ru.vk.store

После выполнения команд режим отладки следует отключить. На iPhone этот магазин отсутствует, однако другие приложения также могут представлять угрозу и требуют дополнительного анализа.

Контекст

С апреля 2024 года предполагается предустановка этого магазина на продаваемые в России телефоны; ранее также были приняты меры по обязательной предустановке отечественного мессенджера.