Ключевые выводы исследования
По результатам анализа, магазин приложений для Android может инициировать «тихую» установку приложений без всплывающих запросов и уведомлений для пользователя.
Тихая установка
Исследователь отмечает, что такой механизм, вероятно, использовался для скрытой установки мессенджера на устройства пользователей — процесс проходит без явного согласия и без видимых уведомлений.
Сбор местоположения
Магазин регулярно фиксирует геопозицию даже при выключенном GPS: помимо спутниковых данных используются координаты по сети, сотовым вышкам и MAC‑адресу роутера. По мнению автора исследования, такой набор данных достаточно для точного определения местоположения.
Отправка «слепка» устройства
В исследовании говорится, что с сервера периодически отправляется полный «слепок» устройства: какие VPN и банковские приложения установлены, какие защищённые мессенджеры и сторонние магазины используются. Этот набор данных привязывается к аппаратному идентификатору смартфона и содержит сведения о частоте и длительности запуска приложений.
Доступ к галерее
Аналитик заметил, что встроенный антивирусный SDK в составе магазина постоянно мониторит директории с фотографиями (DCIM и Pictures), что даёт доступ к метаданным и структуре медиафайлов пользователя.
Автор описывает сочетание компонентов как «архитектурный Франкенштейн», нарушающий базовые принципы безопасности и приватности.
Можно ли удалить уже отправленные данные?
Если выводы верны, то «цифровой отпечаток» устройства, уже отправленный на сервер и привязанный к ID устройства, удалить нельзя.
Как отключить магазин на Android
Авторы рекомендации предлагают временно подключить смартфон к компьютеру по USB в режиме отладки и выполнить команды Android Debug Bridge в терминале:
adb devices
adb shell pm disable‑user --user 0 ru.vk.store
После выполнения команд режим отладки стоит отключить.
На iPhone этот магазин недоступен, но в сообщении также предупреждают, что другие российские приложения могут представлять угрозу безопасности и требуют отдельного изучения.
Контекст
С апреля 2024 года магазин должен предустанавливаться на продаваемые в РФ телефоны, а с сентября предыдущего года для предустановки обязали и указанный мессенджер.