Независимый технический анализ официального магазина приложений RuStore показал, что в его коде заложены возможности фоновой установки приложений без подтверждения пользователя, детального отслеживания местоположения и сбора статистики использования программ. Автор исследования, программист под ником zarazaexe, опубликовал результаты реверс-инжиниринга APK-файла RuStore, ранее он же разбирал код мессенджера «МАКС».
В приложении найдена подсистема Radar, которая фиксирует координаты GPS, данные о местоположении по мобильной сети и ближайшим базовым станциям, MAC-адрес точки доступа Wi-Fi, оператора SIM-карты, факт нахождения в роуминге и использование VPN. Частота сбора задаётся сервером и при активированном флаге система делает «снапшот» раз в 2 минуты по внутреннему таймеру, а также при пробуждении устройства, смене сети или уходе приложения в фон. Записи накапливаются локально до 15 дней и затем выгружаются на удалённый сервер. Каждый снимок привязан к идентификатору пользователя (userId) или аппаратному идентификатору устройства.
Детали из кода приложения магазина RuStore
Другой обнаруженный механизм — серверно-управляемая скрытая установка приложений. В коде найден переключатель SAK_MAX_MESSENGER_INSTALL, который активирует загрузку и инсталляцию мессенджера «МАКС» без запроса к пользователю. Поскольку RuStore предустанавливается на продаваемые в России смартфоны с расширенными системными правами, такая операция может проходить полностью в фоне. Схожий канал предусмотрен и для произвольных пакетов: Push-уведомление с сервера может инициировать установку любого приложения по имени пакета.
Дополнительно RuStore отправляет на серверы VK полный список установленных программ, имеющих иконку в лаунчере. При этом передаются только названия пакетов без номеров версий, что ставит под сомнение официальное объяснение о необходимости проверки обновлений. Сбор статистики использования приложений (время работы, частота запусков) также ведётся и выгружается, в том числе для неавторизованных пользователей, с привязкой к id конкретного устройства.
Пресс-служба RuStore уже прокомментировала публикацию, но ответ как всегда ни о чём
Пресс-служба RuStore прокомментировала публикацию, заявив, что магазин не устанавливает приложения без активного согласия пользователей и не передаёт данные третьим лицам. По их словам, при первом запуске сервис запрашивает разрешения, необходимые для обновлений, предзаказа игр, проверки антивирусом и других заявленных функций, что является стандартной практикой для магазинов приложений. В заявлении подчёркивается, что все используемые механизмы служат для обеспечения работы сервиса. Детали найденных в коде компонентов — в частности, фонового сбора геолокации каждые 2 минуты, отправки списка приложений без версий и отсутствия проверки предзаказа при push-установке — в официальном ответе не затронуты.
А вы как считаете, является ли подобная глубина телеметрии оправданной для магазина приложений, или такие механизмы должны подлежать обязательному независимому аудиту и ограничению? Делитесь мнением в комментариях.
НовостиЖелезо и технологииОС и программы
Источник: vgtimes.ru