Вскрытие APK Яндекс Браузера: инвентаризация вашей цифровой свободы
На днях сеть облетело расследование RKS Global: заголовки говорили о том, что сервисы Яндекса ищут на телефонах следы VPN, а Яндекс Браузер целенаправленно «вынюхивает» установленный браузер Tor. Чтобы не верить статьям на слово, я вооружился инструментами реверс-инженеринга, выпотрошил актуальный APK Яндекс Браузера и залез прямо в исходники. И знаете что? Новость про найденный Tor — это даже не верхушка айсберга, это просто пылинка на его вершине.
Картотека инструментов приватности в коде
В идеале браузеру должно быть абсолютно наплевать, что вообще установлено на вашем смартфоне. Его задача примитивна: открыть ссылку, отрендерить страничку и сохранить куки. Но у Яндекса внутри кода лежит огромный массив с именами пакетов — внутренними именами приложений, по которым их знает система Android.
В этом списке есть Tor Browser, другие приватные браузеры, Holo и XVPN. Ещё по какой-то причине Яндекс Браузер очень интересует, есть ли у вас криптокошелёк MetaMask. В коде зашита целая картотека инструментов для приватности, и активные функции сверяют приложения на вашем телефоне с этим списком.
2. Полный доступ к списку приложений
Если заглянуть в Android Manifest (главный файл конфигурации), мы увидим там разрешение на запрос всех пакетов. На человеческий язык это переводится так: «Я хочу иметь полное право видеть всё, что установлено на этом устройстве». Яндекс поимённо запрашивает видимость десятков приложений: от Telegram, WhatsApp и Reddit до банковских клиентов.
3. Глубокая инвентаризация и «подозрительные разрешения»
Внутри APK есть модуль, в котором крутится функция collectApplications. Она собирает список всех ваших приложений и выкачивает их системные разрешения. Затем этот массив данных прогоняется через внутренний классификатор, который называется прямо и без стеснения — «подозрительное разрешение».
Что Яндекс считает подозрительным в чужих приложениях?
- Доступ к фоновой геолокации;
- Доступ к камере и микрофону;
- Чтение SMS и контактов;
- Доступ к статистике использования устройства.
Браузер выступает в роли локального надзирателя, строя профиль того, какие программы лезут в ваши контакты или слушают микрофон.
4. Прямая детекция VPN
Пока государственные системы тратят миллиарды, анализируя ритм трафика, приложению на вашем телефоне не нужно ничего взламывать. В коде есть функция, которая тупо задаёт системе Android один вопрос: «Идёт ли трафик сейчас через VPN?».
Результат сохраняется в переменную VPN_enabled. Она моментально упаковывается в пакет телеметрии, где по соседству лежат рекламные идентификаторы вашего железа, точные GPS-координаты, данные о ближайших вышках сотовой связи и информация о вашем Wi-Fi. Вы можете быть суперхакером и настроить продвинутые протоколы, но ваш собственный телефон сообщает: «На устройстве с таким-то ID прямо в эту секунду используется VPN», — и отправляет это на сервера.
5. Роль сторонних модулей (SDK)
Современный браузер — это цифровой Франкенштейн. Один из главных теневых игроков в этом АПК — AppSlayer (AppFlyer), мировой гигант мобильной аналитики. Его встроенный модуль лезет в систему глубже всех остальных. Он делает то, что обычно делают хакерские трояны:
- Напрямую сканирует сетевые интерфейсы, выискивая «нулевой туннель» (главный маркер VPN);
- Ковыряется в скрытых системных файлах в обход стандартных разрешений;
- Сканирует память на наличие инструментов для подмены кода.
6. Почему удаление браузера не поможет
Шпионские механизмы размазаны почти по всей экосистеме Яндекса. Браузер и Яндекс Карты используют четыре из шести известных методов детекции маскировки. Их внутренний аналитический SDK AppMetrica работает как цифровой спрут. Вы можете удалить браузер, но откроете Карты или закажете еду — единый корпоративный сканер снова опросит систему и отправит рапорт на сервер.