Исследование разработок российского магазина приложений указывает на возможность скрытой установки программ, регулярного сбора данных о местоположении, мониторинга списка установленных приложений и доступа к фотографиям пользователя.
Тихая установка
По данным исследования, магазин способен инициировать «тихую» установку приложений: пользователю не показываются запросы и уведомления. Авторы предполагают, что таким образом на смартфоны могла попасть предустановленная версия мессенджера Max.
Определение местоположения
Магазин регулярно фиксирует местоположение устройства — даже при отключённом GPS. Для этого используются данные сети, сотовых вышек и MAC‑адрес роутера. По мнению исследователей, такой набор источников достаточен для точного геопозиционирования.
Мониторинг установленных приложений
Исследование утверждает, что с сервера отправляется полный «слепок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры и сторонние магазины присутствуют. Этот список связывается с аппаратным идентификатором смартфона и содержит данные о частоте и продолжительности запуска приложений.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — говорится в выводах исследования.
Доступ к галерее
Взаимодействие с файловыми директориями DCIM и Pictures, где хранятся личные фото, описано как постоянный мониторинг. Авторы отмечают, что в приложение вшит сторонний антивирусный SDK, который сканирует эти папки, что привело к проблемной архитектуре с многочисленными нарушениями практик безопасности.
Можно ли удалить цифровой отпечаток?
Если выводы верны, удалить уже отправленный «слепок» нельзя: данные оказываются привязанными к идентификатору устройства на сервере.
Как отключить магазин на Android
Исследователи рекомендуют подключить смартфон по USB в режиме отладки к компьютеру с Android Platform Tools и выполнить в терминале команды:adb devicesadb shell pm disable‑user --user 0 ru.vk.store
После этого режим отладки следует отключить.
На iPhone такого магазина нет, но ряд других российских приложений ещё не изучен и также может представлять угрозу безопасности.
Контекст
С апреля 2024 года национальный магазин приложений должен предустанавливаться на все продаваемые в РФ смартфоны. С сентября прошлого года правительство также обязало предустанавливать мессенджер Max.
