Анализ RuStore выявил функции скрытой установки приложений и отслеживания пользователей
Независимый технический анализ официального магазина приложений RuStore показал, что в его коде заложены возможности фоновой установки приложений без подтверждения пользователя, детального отслеживания местоположения и сбора статистики использования программ. Автор исследования, программист под ником zarazaexe, опубликовал результаты реверс-инжиниринга APK-файла RuStore, ранее он же разбирал код мессенджера «МАКС».
В приложении найдена подсистема Radar, которая фиксирует координаты GPS, данные о местоположении по мобильной сети и ближайшим базовым станциям, MAC-адрес точки доступа Wi-Fi, оператора SIM-карты, факт нахождения в роуминге и использование VPN. Частота сбора задаётся сервером и при активированном флаге система делает «снапшот» раз в 2 минуты по внутреннему таймеру, а также при пробуждении устройства, смене сети или уходе приложения в фон. Записи накапливаются локально до 15 дней и затем выгружаются на удалённый сервер. Каждый снимок привязан к идентификатору пользователя (userId) или аппаратному идентификатору устройства.
Другой обнаруженный механизм — серверно-управляемая скрытая установка приложений. В коде найден переключатель SAK_MAX_MESSENGER_INSTALL, который активирует загрузку и инсталляцию мессенджера «МАКС» без запроса к пользователю. Поскольку RuStore предустанавливается на продаваемые в России смартфоны с расширенными системными правами, такая операция может проходить полностью в фоне. Схожий канал предусмотрен и для произвольных пакетов: Push-уведомление с сервера может инициировать установку любого приложения по имени пакета.
Дополнительно RuStore отправляет на серверы VK полный список установленных программ, имеющих иконку в лаунчере. При этом передаются только названия пакетов без номеров версий,
