Мы ведь привыкли к одной простой вещи: магазин приложений — это просто витрина. Зашёл, скачал нужную программу, обновил старую, вышел. Максимум, что от тебя требуется — нажать пару кнопок «Разрешить», когда приложение нагло лезет в твою галерею или контакты.
Мы прощаем им эту наглость, потому что верим: ну, магазину-то виднее, ему надо нас защищать, обновлять и рекомендовать.
Но что, если я скажу тебе, что под маской безобидной витрины скрывается один из самых прожорливых и наглых трекеров, которые когда-либо оказывались на наших смартфонах?
Причём трекер, который нельзя просто так взять и удалить, потому что он теперь «системный».
С недавних пор RuStore предустанавливается на вообще все телефоны, которые продаются в России. И вот, на днях, когда все обсуждали очередные новости, я решил не просто читать пресс-релизы, а залезть под капот. Взял свежий APK-файл, прогнал его через декомпилятор и начал читать исходный код. То, что я увидел, заставило меня отложить кофе и крепко задуматься о цифровой гигиене.
Спойлер: то, что они там понаписали, не снилось даже создателям антиутопий. Давай разберём всё по полкам, без сложного IT-жаргона, но с конкретными фактами. Устраивайся поудобнее, будет много интересного. 🚀
🕵️♂️ Тихий гость: как тебе в телефон ставят то, что ты не просил
Начнём с самого вопиющего.
Ты когда-нибудь замечал, что на твоём телефоне появляются приложения, которые ты точно не качал?
Обычно мы списываем это на «предустановки» от производителя или оператора. Но код RuStore показывает, что магазин умеет делать это сам. И делает он это тихо.
Внутри кода спрятана штука, которая называется PreorderAutoInstallPushDto. Звучит как название какого-то заклинания, но суть проста: сервер отправляет на твой телефон обычный push-уведомление.
В этом уведомлении написано: «Поставь вот это приложение». И телефон... ставит. Без твоего ведома. Без диалогового окна «Вы действительно хотите установить?». Без нажатия на кнопку «Далее».
Как это возможно? А вот так.
Разработчики используют привилегию системного установщика с флагом USER_ACTION_NOT_REQUIRED.
В переводе на человеческий это значит: «Я система, я знаю, что делаю, пользователь тут лишний».
Серверу достаточно переключить специальный тоггл (флаг SAK_MAX_MESSENGER_INSTALL), и на миллионы устройств в фоне, незаметно для тебя, начинает скачиваться и ставиться MAX-мессенджер или что там ещё вздумается серверу.
Прикол в том, что в коде вообще нет проверки, заказывал ли ты это приложение. Никакой. Сервер прислал имя пакета — телефон послушно его установил. Это классический бэкдор.
❓ Вопрос к тебе: А у тебя на телефоне уже появлялись приложения, которые ты точно не скачивал? Или ты пока думаешь, что это просто совпадение? Напиши в комменты, мне важно понять масштаб проблемы. 👇
Хочется смотреть спокойно ютуб? Но надоели "КВНы"?
Читай мою статью, и ты узнаешь как без Квна его смотреть:
📡 Радар, который видит тебя насквозь: подсистема слежки
Если тихая установка — это просто наглость, то что я нашёл в подсистеме под названием Radar, это уже откровенный крипт.
RuStore носит в себе собственную систему телеметрии. Она каждые две минуты (каждые 120 секунд, это прописано в серверных настройках) делает «снимок» твоего устройства.
И знаешь, что она туда складывает? Не просто факт того, что ты онлайн.
Она пишет в локальную базу данных три независимых геофика: точные GPS-координаты, координаты по сотовым вышкам и координаты по Wi-Fi сетям. Она запоминает MAC-адрес роутера, к которому ты подключён (а это значит, они знают, дома ты, в офисе или в гостях). Она пишет список всех окружающих сотовых вышек, оператора твоей SIM-карты, факт того, что ты в роуминге, и — внимание — включен ли у тебя VPN.
Всё это копится в памяти телефона до 15 дней, а потом раз в 12 часов батчами улетает на сервера VK. И всё это намертво привязано к твоему userId и ANDROID_ID.
Зачем магазину приложений знать, что ты зашёл в конкретный подъезд, сидишь в конкретном кафе и пытаешься скрыть свой трафик через VPN?
Технического смысла в этом ноль. Ни один нормальный магазин не требует таких данных. Это не для «рекомендаций кафе рядом». Это полноценный GPS-маячок, который просто притворяется витриной.
🍿 Анекдот для разрядки, пока вы не начали паниковать
Кстати, пока я копался в этом коде и понимал, насколько глубоко нас «любят», вспомнил одну историю.
Приходит программист в салон связи, покупает новый смартфон.
Продавец, улыбаясь во все тридцать два, говорит: «Аппарат отличный, безопасный, отечественный софт предустановлен, даже спецслужбы не взломают!».
Программист радостный идёт домой, включает телефон. А там всплывает окно: «RuStore хочет отслеживать ваше местоположение, читать галерею, слушать микрофон и знать содержимое вашего холодильника».
Программист вздыхает, качает головой и нажимает «Отклонить».
Телефон зависает на секунду, а потом выдаёт: «Хорошо. Тогда мы установим MAX-мессенджер молча, а ваши фото отправим в облако для проверки антивирусом».
Программист в шоке: «Подожди, а как же согласие пользователя?!»
Телефон отвечает: «Согласие пользователя — это устаревший концепт. Мы теперь патриотичный софт, у нас согласие коллективное, так что терпи». 😄
Смешно? Да. Но когда ты понимаешь, что этот «телефон» уже лежит у тебя в кармане, становится не до смеха.
Хочется смотреть спокойно ютуб? Но надоели "КВНы"?
Читай мою статью, и ты узнаешь как без Квна его смотреть:
📖 Личный опыт: как я поймал свой телефон на «прослушке»
Расскажу, как это всё выглядело для меня. Сижу я значит ночью на кухне, передо мной ноутбук, открыт декомпилятор, в терминале бегут строчки кода RuStore. Пью уже третий кофе, глаза красные. И вдруг натыкаюсь на класс RadarDatabase_Impl. Читаю SQL-запрос на создание таблицы snapshot_records. И у меня по спине мурашки.
Я открываю сниффер трафика на своём же роутере, смотрю, куда стучится мой тестовый телефон с этим магазином. И вижу, что он действительно, как часы, отправляет какие-то зашифрованные пакеты на reef.vk-cdn.net. Я начинаю сопоставлять время отправки с логами базы. Совпадает.
В этот момент я осознал одну страшную вещь. Мы ведь привыкли думать, что если мы не дали приложению доступ к геолокации, то оно слепое. Но RuStore, имея системные привилегии, умудряется вытаскивать данные о сетях и вышках в обход стандартных диалогов. И самое обидное — ты не можешь это просто так отключить в настройках. Кнопки «Выключить Radar» в меню нет. Есть только кнопка «Удалить приложение», но она серая, потому что приложение системное.
Тогда я понял: приватности больше нет. Она умерла, и её убили ради «удобства» и «безопасности».
Вывод простой: если ты не контролируешь код, который крутится на твоём устройстве, твоё устройство контролирует тебя. И никакой «патриотичный» логотип этого не изменит.
🤝 Невидимое рукопожатие: как у тебя крадут токены и следят за фото
Но геолокация — это ещё цветочки. Есть и ягодки. В коде нашлась реализация так называемого Silent Auth (тихой авторизации) через AIDL-интерфейс.
Что это значит на практике?
Представь, что ты один раз ввёл свой логин и пароль в самом RuStore. Всё, ты «в системе». Теперь, если на твоём телефоне установлено любое стороннее приложение от «партнёров VK» (а этот белый список определяется не тобой, а сервером), оно может в фоне, без единого диалогового окна, запросить у RuStore твой авторизационный токен.
RuStore, обладая системными правами, молча передаёт этому приложению твой токен. Сторонний софт мгновенно связывает твою активность со своим профилем. Ты даже не узнаешь, что ты «авторизовался» в каком-нибудь очередном «СуперПриложении». Твои данные утекают в экосистему VK без твоего ведома. Это даже не нарушение приватности, это её полное уничтожение.
И вишенка на торте — антивирус от Касперского, который зачем-то вшили в магазин. Казалось бы, пусть сканирует APK-файлы на вирусы, и ладно. Но нет. Этот SDK, написанный, судя по всему, по лекалам старого доброго Windows-антивируса, делает две дикие вещи.
Во-первых, он использует inotify для мониторинга твоих папок с фотографиями (DCIM, Pictures). То есть, как только ты сделал фотку, антивирус магазина приложений тут же об этом узнаёт и может отправить хэш в свою сеть KSN.
Зачем магазину следить за твоими личными фотками? Вопрос риторический.
Во-вторых, он использует P2P-сеть. Твой телефон может использоваться как транзитный узел для обмена телеметрией между другими устройствами. В системном магазине! В 2026 году!
Ах да, чуть не забыл про «секреты». Разработчики решили спрятать токены для push-уведомлений в нативную C++ библиотеку libsecrets.so.
Звучит надёжно, да?
Только вот один из разработчиков, некий Денис, случайно оставил в коде путь к своему рабочему столу: /Users/d.pismennyy/Desktop/rustore-push-sdk-secrets/. Привет, Денис! А сам «секретный» алгоритм шифрования оказался простым XOR-ом с хэшем от строки, которая жёстко прописана в том же коде. То есть, чтобы взломать их «защиту», мне даже не пришлось ничего ломать. Библиотека сама расшифровала мне все ключи. Смешно и грустно одновременно.
Хочется смотреть спокойно ютуб? Но надоели "КВНы"?
Читай мою статью, и ты узнаешь как без Квна его смотреть:
🤡 PR против Реальности: шедевры корпоративной лжи
Самое забавное началось после того, как я опубликовал первые находки. Пресс-служба RuStore, видимо, не спала ночь и выдала нам гениальный ответ. Читаем и наслаждаемся:
PR-служба: «RuStore не передает данные третьим лицам и не устанавливает приложения без активного согласия пользователей... Они нужны, например, для своевременного обновления... Это стандартные инструменты всех магазинов приложений...»
А теперь смотрим в код:
Код: Флаг SAK_MAX_MESSENGER_INSTALL и метод USER_ACTION_NOT_REQUIRED. Плюс очередь тихой установки по пушу, где вообще нет проверки, заказывал ли ты приложение.
Перевод: Мы ставим что хотим, когда хотим, и называем это «активным согласием», потому что вы просто пользуетесь телефоном.
PR-служба: «...не передает данные третьим лицам...»
Код: Отправка телеметрии в AltCraft (даже если ты не залогинен), раздача VK-токенов по AIDL сторонним приложениям без диалогового окна, P2P-сеть Касперского.
Перевод: Мы не передаём данные «третьим» лицам. Они наши, внутренние. А P2P — это вообще не передача, это «обмен опытом».
PR-служба: «...необходимы для своевременного обновления...»
Код: RuStore отправляет на сервер список ВСЕХ установленных лаунчабл-приложений, но БЕЗ их версий.
Перевод: Мы не знаем, какие у вас версии, чтобы их обновить. Мы просто делаем полную инвентаризацию вашего софта, чтобы знать, какими банками, VPN и мессенджерами вы пользуетесь.
Иногда мне кажется, что они даже не удосуживаются читать то, что пишут их же программисты. Это уже не просто наглость, это какой-то сюрреалистичный театр абсурда.
🛡 Практика: чек-лист, как минимизировать ущерб (Таблица)
Понятно, что просто так взять и удалить RuStore не получится — он теперь в системе. Но мы не сдаёмся. Я собрал для тебя конкретные шаги, как заткнуть этому «маячку» рот настолько, насколько это вообще возможно. Сохраняй таблицу, чтобы не потерять.
🏁 Заключение
Давай честно. RuStore в его текущем виде — это не просто «магазин приложений для замены». Это тяжеловесный, прожорливый комбайн, который собирает о тебе больше данных, чем некоторые спецслужбы. Тихие установки, скрытая авторизация, тотальный трекинг геолокации и слежка за галереей под видом антивируса — это не «стандартные инструменты». Это архитектурный произвол, замешанный на костылях и плохом коде.
Они рассчитывают на то, что обычный пользователь не полезет в код, не поймёт, что такое inotify или AIDL, и просто примет всё как должное. Но мы с тобой не обычные пользователи. Мы читаем, думаем и делаем выводы.
Технологии всегда опережают законы. И пока нам рассказывают сказки про «безопасность» и «коллективное согласие», наша задача — защищать свой цифровой периметр. Пусть и такими костыльными методами, как блокировка DNS и отзыв разрешений.
Если этот разбор был для тебя полезным, если ты узнал что-то новое и теперь по-другому смотришь на иконку магазина на своём экране — обязательно подпишись на канал. Тут мы не боимся залезать под капот, вскрывать самые неудобные темы и говорить о технологиях без купюр и корпоративной цензуры.
Впереди ещё много всего: разберём, как на самом деле работают биометрические системы и почему твой телефон знает о тебе больше, чем твоя мама. 🔔
❓ А как ты считаешь, где проходит грань между «заботой о безопасности» и тотальной слежкой?
❓ Готов ли ты мириться с такими «системными» приложениями, или сразу несёшь телефон в сервис для перепрошивки?
Жду твои мысли в комментариях, давай устроим тут жаркие дебаты. До связи и береги свои данные! 🗝️✨
Хочется смотреть спокойно ютуб? Но надоели "КВНы"?
Читай мою статью, и ты узнаешь как без Квна его смотреть:
Просить конечно мне в лом, поэтому не напрягаю, кому не жалко на пивасик жду полтосик в виде донера, потому что полтосик всегда приветствуется на кармане :D https://dzen.ru/internet_2026?donate=true - ссылка для Дона!