Кратко
Независимое исследование показало, что российский магазин приложений может без уведомления пользователя инициировать «тихую» установку программ и собирать широкий набор данных с устройства.
Что именно обнаружили исследователи?
- Тихая установка: магазин способен запускать установку приложений без отображения запросов и уведомлений пользователю.
- Определение местоположения: сервис регулярно фиксирует координаты, в том числе по сети, вышкам сотовой связи и MAC‑адресу роутера — даже при отключённом GPS.
- Мониторинг приложений: с устройства периодически отправляется «снимок» установленных программ (VPN, банки, защищённые мессенджеры, сторонние магазины) с привязкой к аппаратному ID и данными о запуске этих приложений.
- Доступ к галерее: включённый в магазин антивирусный SDK постоянно сканирует директории с пользовательскими фотографиями (DCIM и Pictures).
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — так характеризует ситуацию автор исследования.
Можно ли удалить отправленный цифровой отпечаток?
По мнению авторов анализа, если выводы верны, уже отправленный «слепок» устройства остаётся на сервере и привязан к идентификатору аппарата, то есть полностью удалить его практически нельзя.
Как временно отключить приложение на Android
Исследователи предлагают временное решение: подключить Android‑смартфон по USB в режиме отладки к компьютеру с Android Platform Tools и выполнить в терминале команды:adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После этого режим отладки следует отключить.
На iPhone рассматриваемого магазина приложений нет, однако ряд других отечественных приложений ещё не прошёл детального анализа и потенциально может представлять угрозу.
Контекст
С апреля 2024 года такой магазин должен предустанавливаться на все продаваемые в РФ телефоны. С сентября прошлого года также действует требование предустанавливать определённый мессенджер.
