История №1609145

На Хабре вышел разбор (реверс-инжиниринг) нашего отечественного магазина приложений RuStore.
Автор разбора поковырялся в его исходном коде и обнаружил функции, от которых волосы встают дыбом.

Поскольку оригинальная статья очень техническая, длинная и полна строчек кода, я перевёл её на человеческий язык и собрал главные факты, а также практические советы — что со всем этим делать обычному человеку.

Что интересного нашли внутри RuStore?
1. «Тихая» установка приложений (Классический бэкдор)
Так как RuStore сейчас принудительно предустанавливается на смартфоны в РФ, он имеет в системе высочайшие права. Исследователь обнаружил, что в него заложен механизм скрытой установки софта.

Пример с MAX Messenger:
С сервера может прийти команда (флаг SAK_MAX_MESSENGER_INSTALL), и RuStore в фоновом режиме, без единого уведомления или диалогового окна, скачает и установит этот мессенджер (в котором, к слову, полностью отсутствует безопасное сквозное E2E-шифрование).

Уязвимость «Предзаказов»:
Механизм, задуманный для автоустановки предзаказанных игр, сделан максимально небрежно. Приложение на вашем телефоне вообще не проверяет, предзаказывали ли вы этот софт. Сервер прислал PUSH-сообщение с именем любого пакета — телефон молча его установил. Если сервер взломают (или так решат сверху), на миллионы устройств можно в один клик раскатать вредоносное ПО.

2. Собственная система слежки «Radar»Это не какой-то сторонний рекламный трекер, а собственный код VK, встроенный в RuStore. Он регулярно снимает «снапшот» (срез данных) вашего устройства, бережно копит его в локальной базе данных, а каждые 12 часов выгружает на сервер.

Что они собирают:
Точные геоданные: GPS-координаты, данные сети и последнее известное местоположение.
BSSID всех Wi-Fi роутеров вокруг вас (позволяет определять положение даже с выключенным GPS).
Данные сотовых вышек, оператора SIM-карты, а также статус подключения к VPN и роумингу. Вся эта база перемещений намертво привязывается к вашему userId, vkId и deviceId.

3. Мониторинг вашей активности
RuStore собирает статистику использования приложений (PACKAGE_USAGE_STATS). Он фиксирует, в какие приложения вы заходите, как долго там сидите и в какое время. Отчёты ежедневно улетают аналитикам.
При этом RuStore сканирует и пытается обновлять программы в фоне, даже если вы изначально ставили их из Google Play.

4. Тяжёлый багаж из встроенных SDK
Внутри программы крутится куча сторонних модулей:
Полноценный антивирусный движок от Касперского, который плодит до 19 фоновых потоков и постоянно мониторит ваши медиа-папки.
Система верификации от Mail,ru, умеющая читать входящие SMS-коды и перехватывать проверочные сброс-звонки (flash-calls).

Что делать простым людям?
Инструкция по защите
Полноценно пользоваться таким комбайном слежки небезопасно для приватности и батареи смартфона. Вот что можно сделать прямо сейчас:
Вариант 1. Ограничение прав (Если RuStore вам нужен)
Если вы иногда качаете оттуда приложения банков, зажмите иконку RuStore -> О приложении (или значок "i") -> Разрешения:
Запретите доступ к Местоположению (Геопозиции) — это полностью ослепит подсистему «Radar».
Запретите доступ к SMS и Телефону — чтобы встроенные модули не читали ваши коды авторизации.
Найдите пункт «Установка неизвестных приложений» (или «Внешние источники») в настройках этого приложения и переведите тумблер в «Запрещено». Это может заблокировать «тихую» установку приложений в обход вашего согласия.
Внутри самого RuStore зайдите в его настройки и выключите «Автообновление приложений», а в настройках Android ограничьте ему «Передачу данных в фоне» и выставите режим батареи «Ограничено».

Вариант 2. Полное удаление через ПК (Рекомендуется)
Если RuStore зашит в ваш смартфон как системный и обычным способом не удаляется, его можно снести через компьютер с помощью утилиты ADB (Android Debug Bridge). Это абсолютно безопасно для телефона.
Включите на телефоне «Отладку по USB».
Подключите к ПК, откройте консоль ADB и введите команду: adb shell pm uninstall -k --user 0 ru.vk.store
Приложение полностью исчезнет из системы для вашего пользователя, фоновые процессы и сбор «радарных» данных прекратятся.

Вариант 3. Переход на безопасные альтернативы
Для обновления приложений и банковских клиентов лучше использовать более прозрачные и чистые альтернативы:
Aurora Store — неофициальный и конфиденциальный клиент для Google Play с открытым исходным кодом (позволяет скачивать всё без аккаунта Google).
F-Droid — каталог приложений с полностью открытым исходным кодом (Open Source), где жестко следят за отсутствием трекеров и скрытых функций.