Кратко
По результатам независимого анализа, российский магазин приложений может инициировать скрытую установку мессенджера на устройства без явных уведомлений пользователю, а также собирать широкий набор данных о самом смартфоне и действиях его владельца.
Что обнаружили исследователи
- Тихая установка. Магазин способен инициировать «тихую» установку приложений — без отображения запросов или уведомлений пользователю.
- Геолокация без GPS. Приложение регулярно фиксирует местоположение, определяя координаты по сети, сотовым вышкам и MAC‑адресу роутера; этого, по мнению авторов анализа, хватает для точного позиционирования даже при выключенном GPS.
- Сбор данных о приложениях. На серверы отправляется подробный «слепок» устройства: какие VPN, банковские приложения, защищённые мессенджеры или сторонние магазины установлены, а также частота и длительность их запуска; этот набор привязывается к аппаратному идентификатору телефона.
- Мониторинг галереи. Во встроенном антивирусном SDK обнаружен постоянный мониторинг директорий с фотографиями пользователя (DCIM, Pictures), что позволяет отслеживать содержимое локальных папок.
«Мы имеем наглую, ничем не оправданную слежку за вашей активностью», — так сформулировал вывод один из авторов исследования.
Последствия для пользователей
Если выводы верны, уже отправленный «слепок» устройства привязан к его ID и удалить цифровой отпечаток будет невозможно — информация хранится на удалённых серверах. Это повышает риски утечек и профилирования пользователей.
Как отключить магазин на Android
Авторы анализа рекомендуют временно подключить смартфон по USB в режиме отладки и выполнить в терминале Android Platform Tools следующие команды:adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки следует отключить.
Контекст
С апреля 2024 года национальный магазин приложений должен предустанавливаться на телефоны, продаваемые в России. Ранее правительство также обязало предустанавливать определённый мессенджер.
