RuStore качает MAX без спроса и мониторит GPS каждые 5 минут и ему даже не стыдно
Собственный код RuStore (VK):
Шоукейс: Список приложений с иконками в лаунчере подгружается через POST api.rustore.ru/v1/showcase/startup-destination при запуске и периодически в фоне.
Идентификация: Устройство привязывается к аккаунту через ANDROID_ID.
Установка по флагу: Установка MAX Messenger и аналогичного ПО происходит по серверному флагу SAK_MAX_MESSENGER_INSTALL через «тихий» установщик.
Тихая установка: Push-сообщение с сервера запускает скрытую фоновую установку приложения по имени пакета (логика preorder/autoinstall, PreorderAutoInstallPushDto).
SSO-провайдер: RuStore работает как поставщик VK-токенов для сторонних приложений через AIDL, без запроса согласия пользователя.
Подсистема Radar: Локальная SQLite-база snapshot_records хранит userId, три геофикса (GPS, сеть, последний известный), BSSID Wi-Fi-роутера, список сотовых вышек, оператора SIM и признаки VPN/роуминга.
Авто-обновление: Приложение обновляет любой софт в фоне, вне зависимости от того, откуда он был установлен.
Статистика: Сбор данных о том, какими приложениями и когда вы пользуетесь (PACKAGE_USAGE_STATS); суточный воркер выгружает отчеты на api.rustore.ru/user-event-handler (AltCraft) с привязкой к userId + vkId + deviceId.
Тогглы: Реестр из 73 удалённо управляемых параметров VK ID SDK, включая флаги для MAX и sak_messenger_skip_sms_android.
Подключённые SDK:
Kaspersky kavsdk: Полноценный антивирусный движок с KSN-телеметрией (19 потоков, включая P2P-узлы), классификатором приложений и inotify по медиапапкам.
Mail.ru libverify: Верификация по SMS/звонку, читает код подтверждения и номер flash-call.
VK SuperApp JS Bridge: 150+ методов, проброшенных во внутренний VK-браузер.
OK Tracer: Телеметрия производительности на sdk-api.apptracer.ru.
libsecrets.so: Обфусцированные секреты VK Push SDK.
Сервер может инициировать установку MAX
g20/f.java это MaxMessengerSeamlessInstallFlow. Установка ru.oneme.app (MAX) в рамках VK ID-флоу гейтирована серверным флагом SAK_MAX_MESSENGER_INSTALL (система удалённых тогглов VK, yn0/b.java, ключ sak_max_messenger_install). Флаг переключается с сервера, устройство не решает само.
Установку выполняет общий установщик стора wi2/e.java:
Справка: в систему зашит классический бэкдор. Отсутствие на клиенте элементарной проверки того, действительно ли вы запрашивали это приложение, превращает механизм в инструмент принудительной дистрибуции. Серверу достаточно отправить Push-сигнал, чтобы скрытно раскатать любой софт на миллионы устройств. По стандартам безопасности любого адекватного магазина приложений по типу Fdroid или Auroraoss — тихая установка нового ПО без явного согласия пользователя — это абсолютно недопустимый произвол.
Подсистема Radar: локальная база истории перемещений, привязанная к пользователю
RuStore несёт собственную подсистему телеметрии Radar (пакет ru.vk.store.lib.analytics.system.radar). Это собственный код магазина (не сторонний SDK). Radar периодически снимает «снапшот» устройства, складывает его в локальную базу SQLite и раз в 12 часов выгружает накопленное на сервер.
Справка: С точки зрения здравого смысла и базовой приватности, каталогу приложений для работы абсолютно не нужны ваши точные координаты, MAC-адреса роутеров и данные сотовых вышек каждые 2 минуты. Никакой технической необходимости для скачивания программ в этом нет. По факту, под видом системного магазина в ваш телефон просто вшит полноценный GPS-маячок. Он непрерывно пишет подробную историю ваших перемещений и намертво привязывает её к аппаратному ID устройства.
Справка: Казалось бы, любому магазину нужен список установленных пакетов, чтобы проверять наличие обновлений. Но разработчики даже не удосужились прикрыться этой отговоркой. В данных, которые улетают на сервер, передаются только названия пакетов — без их версий. А не зная текущую версию приложения, предложить обновление технически невозможно. Это прямо доказывает, что рутинная системная функция используется исключительно для тотальной инвентаризации. RuStore регулярно сливает на серверы VK полный слепок вашего устройства: какие VPN вы используете, какие банки, защищенные мессенджеры или сторонние магазины у вас стоят. Весь этот список намертво привязывается к аппаратному ID смартфона (ANDROID_ID).
Справка: Данные о том, как часто и как долго вы пользуетесь приложениями (Usage Stats) — это сверхчувствительная информация. Тайминги запуска ваших мессенджеров, VPN и банков сливаются в систему аналитики и намертво привязываются к несбрасываемому аппаратному ID вашего смартфона. Разработчики могли бы сказать: «Ну это же просто для безобидной фичи меню ‘Время в играх’!». Только вот RuStore мониторит экранное время вообще всех ваших приложений, а не только игр, и выгружает всё это на свои серверы, вместо того чтобы считать локально на устройстве. Тогда вы могли бы возразить: «Наверное, это нужно для облачной синхронизации между моими устройствами?». И снова мимо: этот агрессивный сбор и отправка статистики работают на полную катушку, даже если вы вообще не вошли в аккаунт. Никакой синхронизацией тут и не пахнет. Мы имеем наглую, ничем не оправданную слежку за вашей активностью.
оригинал https://habr.com/ru/articles/1046710/.
Статья на хабре, гораздо более подробна с массой технической, программной информацией.
Рустор может стоять только на отдельном смартфоне для Скама.
Имеет огромный смысл удалить его полностью.
Или заблокировать.