Исследование показало, что российский магазин приложений может инициировать скрытую установку программ, собирать геоданные, мониторить установленные приложения и доступ к галерее пользователя. Авторы работы предупреждают, что некоторые методы воспроизводимы и ждут верификации другими специалистами.
Скрытая установка
По версии исследователя, магазин способен запускать «тихую» установку новых приложений без отображения запросов и уведомлений — пользователь не видит явного подтверждения. Именно таким способом, как полагают авторы, проводилась скрытая установка национального мессенджера на часть устройств.
Отслеживание местоположения
Магазин регулярно фиксирует координаты пользователей даже при выключенном GPS. Помимо спутниковой геолокации он определяет положение по сети, данным сотовых вышек и MAC‑адресу роутера. По оценке исследователя, такой набор источников позволяет достаточно точно определять местоположение без включённого GPS.
Слежка за установленными приложениями
В отчёте говорится, что магазин отправляет на серверы полный «слепок» устройства: список используемых VPN, банковских приложений, защищённых мессенджеров и сторонних магазинов, причём этот список привязывается к аппаратному идентификатору смартфона. Также фиксируется, как часто и как долго запускаются те или иные приложения.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — отмечает автор исследования.
Доступ к галерее
Исследователь обнаружил, что внутри магазина встроен антивирусный SDK сторонней компании, который постоянно мониторит каталоги DCIM и Pictures, где хранятся личные фотографии пользователей. По его мнению, это похоже на типичную работу универсального антивирусного модуля, адаптированного не под Android, и приводит к «архитектурному Франкенштейну», нарушающему множество правил безопасности.
Можно ли удалить цифровой отпечаток?
Если выводы исследования верны, то удалить уже отправленный «слепок» устройства невозможно: данные привязаны к аппаратному ID и хранятся на сервере.
Как отключить магазин на Android
Авторы исследования предлагают временное решение через Android Debug Bridge. Нужно подключить смартфон к компьютеру по USB в режиме отладки и выполнить команды:
adb devicesadb shell pm disable‑user --user 0 ru.vk.store- После выполнения команд режим отладки следует отключить.
iPhone и другие приложения
На iPhone аналогичного магазина нет, однако исследователи предупреждают, что ряд российских приложений на iOS и Android ещё не изучен и потенциально может представлять угрозу безопасности.
Контекст
С апреля 2024 года национальный магазин приложений должен предустанавливаться на все продаваемые в России смартфоны. Кроме того, с сентября прошлого года правительством введено требование предустановки определённого мессенджера.
