Независимый анализ утверждает, что один из российских магазинов приложений способен без уведомлений пользователя устанавливать программы и собирать подробную информацию о смартфоне.
Основные выводы
- Скрытая установка: магазин может инициировать «тихую» установку приложений без отображения запросов и уведомлений.
- Сбор местоположения: позиционирование ведётся не только через GPS, но и по сети, базовым станциям и MAC‑адресу роутера, что позволяет вычислять координаты даже при выключенном GPS.
- Отправка слепка устройства: на серверы регулярно передаётся полный список установленных приложений, используемые VPN, банковские и защищённые мессенджеры и другая информация, привязываемая к аппаратному идентификатору.
- Мониторинг галереи: встроенный сторонний антивирусный SDK периодически сканирует папки с фотографиями и другими медиафайлами.
- Удаление цифрового отпечатка: если слепок устройства уже отправлен на сервер, авторы считают, что удалить привязку невозможно.
Оценка методов
Авторы исследования называют такие механизмы необоснованной слежкой за активностью пользователей и указывают на архитектурные проблемы при интеграции сторонних компонентов в приложение магазина.
Как временно отключить магазин на Android
Исследователи предлагают подключить Android‑смартфон по USB в режиме отладки к компьютеру с Android Platform Tools и выполнить в терминале команды: adb devices
adb shell pm disable‑user --user 0 имя.пакета.магазина
После выполнения команд режим отладки следует отключить.
На iPhone аналогичный магазин не присутствует, но ряд других российских приложений пока недостаточно изучены и могут представлять угрозу безопасности.
Контекст
С апреля 2024 года такие магазины должны предустанавливаться на продаваемые в России телефоны; с сентября прошлого года также введено требование предустановки определённого мессенджера.
