Авторы исследования обнаружили, что магазин приложений способен устанавливать приложения без уведомлений пользователю, собирать данные о местоположении и отправлять подробную информацию о установленном софте, привязанную к аппаратному идентификатору устройства.
Ключевые выводы исследования
- Тихая установка. Магазин может инициировать «тихую» установку приложений: пользователю не показываются запросы и уведомления.
- Определение местоположения. Фиксация координат выполняется регулярно и может работать даже при выключенном GPS — через сеть, сотовые вышки и MAC‑адрес роутера.
- Мониторинг приложений. Магазин периодически отправляет на удалённые серверы «полный слепок» устройства: список установленных приложений (банки, VPN, защищённые мессенджеры, сторонние магазины) и статистику их использования, привязанный к аппаратному ID.
- Доступ к галерее. Встроенный антивирусный SDK постоянно сканирует каталоги с фотографиями (DCIM, Pictures), отмечают авторы исследования.
- Невозможность отозвать уже отправленные данные. Если выводы верны, ранее отправленный «отпечаток» устройства уже сохранён на сервере и не удаляется простыми действиями со стороны пользователя.
Рекомендации для пользователей
Исследователи предлагают временно отключить магазин через Android Debug Bridge (ADB). Для этого подключите Android‑устройство по USB в режиме отладки и выполните в терминале команды:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки рекомендуется отключить. На iPhone этот магазин официально не представлен, однако другие приложения тоже могут представлять риск и требуют отдельной проверки.
Контекст
С апреля 2024 года указано, что соответствующий магазин должен предустанавливаться на продаваемые в России телефоны; ранее также вводились требования по предустановке отдельного мессенджера.
