RuStore качает MAX без спроса и мониторит GPS каждые 5 минут и ему даже не стыдно

RuStore качает MAX без спроса и мониторит GPS каждые 5 минут и ему даже не стыдно

Собственный код RuStore (VK):

Шоукейс: Список приложений с иконками в лаунчере подгружается через POST api.rustore.ru/v1/showcase/startup-destination при запуске и периодически в фоне.

Идентификация: Устройство привязывается к аккаунту через ANDROID_ID.

Установка по флагу: Установка MAX Messenger и аналогичного ПО происходит по серверному флагу SAK_MAX_MESSENGER_INSTALL через «тихий» установщик.

Тихая установка: Push-сообщение с сервера запускает скрытую фоновую установку приложения по имени пакета (логика preorder/autoinstall, PreorderAutoInstallPushDto).

SSO-провайдер: RuStore работает как поставщик VK-токенов для сторонних приложений через AIDL, без запроса согласия пользователя.

Подсистема Radar: Локальная SQLite-база snapshot_records хранит userId, три геофикса (GPS, сеть, последний известный), BSSID Wi-Fi-роутера, список сотовых вышек, оператора SIM и признаки VPN/роуминга.

Авто-обновление: Приложение обновляет любой софт в фоне, вне зависимости от того, откуда он был установлен.

Статистика: Сбор данных о том, какими приложениями и когда вы пользуетесь (PACKAGE_USAGE_STATS); суточный воркер выгружает отчеты на api.rustore.ru/user-event-handler (AltCraft) с привязкой к userId + vkId + deviceId.

Тогглы: Реестр из 73 удалённо управляемых параметров VK ID SDK, включая флаги для MAX и sak_messenger_skip_sms_android.

Подключённые SDK:

Kaspersky kavsdk: Полноценный антивирусный движок с KSN-телеметрией (19 потоков, включая P2P-узлы), классификатором приложений и inotify по медиапапкам.

Mail.ru libverify: Верификация по SMS/звонку, читает код подтверждения и номер flash-call.

VK SuperApp JS Bridge: 150+ методов, проброшенных во внутренний VK-браузер.

OK Tracer: Телеметрия производительности на sdk-api.apptracer.ru.

libsecrets.so: Обфусцированные секреты VK Push SDK.

Сервер может инициировать установку MAX

g20/f.java это MaxMessengerSeamlessInstallFlow. Установка ru.oneme.app (MAX) в рамках VK ID-флоу гейтирована серверным флагом SAK_MAX_MESSENGER_INSTALL (система удалённых тогглов VK, yn0/b.java, ключ sak_max_messenger_install). Флаг переключается с сервера, устройство не решает само.

Установку выполняет общий установщик стора wi2/e.java:

Справка: в систему зашит классический бэкдор. Отсутствие на клиенте элементарной проверки того, действительно ли вы запрашивали это приложение, превращает механизм в инструмент принудительной дистрибуции. Серверу достаточно отправить Push-сигнал, чтобы скрытно раскатать любой софт на миллионы устройств. По стандартам безопасности любого адекватного магазина приложений по типу Fdroid или Auroraoss - тихая установка нового ПО без явного согласия пользователя - это абсолютно недопустимый произвол.
Подсистема Radar: локальная база истории перемещений, привязанная к пользователю

RuStore несёт собственную подсистему телеметрии Radar (пакет ru.vk.store.lib.analytics.system.radar). Это собственный код магазина (не сторонний SDK). Radar периодически снимает «снапшот» устройства, складывает его в локальную базу SQLite и раз в 12 часов выгружает накопленное на сервер.

Справка: С точки зрения здравого смысла и базовой приватности, каталогу приложений для работы абсолютно не нужны ваши точные координаты, MAC-адреса роутеров и данные сотовых вышек каждые 2 минуты. Никакой технической необходимости для скачивания программ в этом нет. По факту, под видом системного магазина в ваш телефон просто вшит полноценный GPS-маячок. Он непрерывно пишет подробную историю ваших перемещений и намертво привязывает её к аппаратному ID устройства.

Справка: Казалось бы, любому магазину нужен список установленных пакетов, чтобы проверять наличие обновлений. Но разработчики даже не удосужились прикрыться этой отговоркой. В данных, которые улетают на сервер, передаются только названия пакетов - без их версий. А не зная текущую версию приложения, предложить обновление технически невозможно. Это прямо доказывает, что рутинная системная функция используется исключительно для тотальной инвентаризации. RuStore регулярно сливает на серверы VK полный слепок вашего устройства: какие VPN вы используете, какие банки, защищенные мессенджеры или сторонние магазины у вас стоят. Весь этот список намертво привязывается к аппаратному ID смартфона (ANDROID_ID).

Справка: Данные о том, как часто и как долго вы пользуетесь приложениями (Usage Stats) - это сверхчувствительная информация. Тайминги запуска ваших мессенджеров, VPN и банков сливаются в систему аналитики и намертво привязываются к несбрасываемому аппаратному ID вашего смартфона. Разработчики могли бы сказать: «Ну это же просто для безобидной фичи меню 'Время в играх'!». Только вот RuStore мониторит экранное время вообще всех ваших приложений, а не только игр, и выгружает всё это на свои серверы, вместо того чтобы считать локально на устройстве. Тогда вы могли бы возразить: «Наверное, это нужно для облачной синхронизации между моими устройствами?». И снова мимо: этот агрессивный сбор и отправка статистики работают на полную катушку, даже если вы вообще не вошли в аккаунт. Никакой синхронизацией тут и не пахнет. Мы имеем наглую, ничем не оправданную слежку за вашей активностью.

оригинал https://habr.com/ru/articles/1046710/.

Статья на хабре, гораздо более подробна с массой технической, программной информацией.

Рустор может стоять только на отдельном смартфоне для Скама.
Имеет огромный смысл удалить его полностью.
Или заблокировать.