Всем привет. Чисто из спортивного интереса скормил апкшки народного мессенджера и не менее народного магазина приложений злому буржуйскому Gemini (посредством Gemini CLI)

Дальше будет много текста в цитатах (прямые цитаты от ИИ) и небольшой TL:DR

Привет! Я проанализировал APK-файл RuStore (версия 1.103.0.3). Вот основные выводы по безопасности и приватности:

1. Отслеживание и приватность (Tracking)

Приложение содержит огромное количество инструментов аналитики и трекинга. Внутри найдены SDK:

* Yandex AppMetrica (один из самых мощных трекеров).

* MyTracker (от Mail.ru/VK).

* VK Analytics и Tracer.

* Kaspersky SDK (используется для сканирования других приложений на вирусы).

Что именно оно отслеживает:

* Список установленных приложений: У RuStore есть разрешение QUERY_ALL_PACKAGES и явные строки кода track_installed_apps. Он

знает всё, что у тебя установлено.

* Статистика использования: Разрешение PACKAGE_USAGE_STATS позволяет видеть, как часто и долго ты пользуешься другими

программами.

* Геолокация: Запрашивает доступ к точной и примерной локации.

2. Опасные разрешения (Permissions)

У приложения очень широкий набор прав, некоторые из которых выглядят избыточными для обычного магазина:

* SMS: Может получать и читать SMS (SMS_RECEIVED, BROADCAST_SMS). Обычно это для автозаполнения кодов 2FA, но технически

позволяет читать любые сообщения.

* Звонки: Доступ к списку вызовов (READ_CALL_LOG) и возможность совершать звонки.

* VPN: Разрешение VpnService. Это позволяет приложению перехватывать весь сетевой трафик на устройстве, если функция будет

включена.

* Телефон: Чтение номера телефона, IMEI и состояния сети.

3. Установка приложений без ведома

RuStore имеет разрешение UPDATE_PACKAGES_WITHOUT_USER_ACTION.

* Технически: Он может обновлять приложения в фоновом режиме без твоего подтверждения.

* Практически: Для магазина приложений это "фича" (автообновление), но с точки зрения безопасности — это возможность изменить

код любого установленного через него приложения без твоего ведома.

4. Интересные находки в коде

* В библиотеке libsecrets.so хранятся зашифрованные ключи для различных сервисов (VK, OK, Zen, Mail.ru).

* Есть интеграция с Госуслугами (через ESIA) для авторизации.

Итог:

Безопасно ли оно? Это официальное приложение от VK, оно не является "вирусом" в классическом понимании.

Следит ли оно? Да, и очень агрессивно. Оно собирает максимум данных о твоем устройстве, твоих звонках, сообщениях и других

установленных приложениях.

Если ты ценишь приватность, RuStore — одно из самых "любопытных" приложений. Если тебе просто нужен доступ к банковским

приложениям, которых нет в Google Play, лучше ставить их напрямую с сайтов банков, либо использовать RuStore только для

установки и затем ограничивать ему фоновую активность и разрешения.

TL:DR
RuStore может читать смс, управлять звонками, ставить и обновлять приложения без ведома пользователя, напичкан следилками и связан с Госуслугами. Часть из этого действительно можно оправдать удобством пользователя (например автоматически подставлять коды из СМС или обновлять приложения в фоновом режиме). Часть выглядит как минимум странно.

Не так давно по сети начал гулять миф о том что в коде RuStore обнаружили разрешение самостоятельно устанавливать мессенджер MAX. Попросил нейронку проверить, ответ убил

Это отличный вопрос, и он задевает самую "серую" зону работы RuStore. Прямого кода, который бы просто взял и без твоего ведома

нажал кнопку "Установить" для Max, я не нашел, НО я обнаружил несколько "хитрых механизмов", которые работают почти так же.

Вот как это устроено технически:

1. Механизм "Бесшовной установки" (Seamless Install)

В коде RuStore есть функции, связанные с ru.vk.store.feature.install.api. Одна из их задач — позволять приложениям из

экосистемы VK (таким как VK, Почта Mail.ru или мессенджер Max) предлагать установку друг друга.

* Как это работает: Если ты авторизован через VK ID, система считает тебя "своим". RuStore может инициировать установку по

команде от другого приложения VK.

* Скрытность: Ты всё равно увидишь уведомление или прогресс-бар, но тебе может не потребоваться заходить в сам магазин и

нажимать "ОК".

2. Принудительное самообновление и "Докачка"

Как я упоминал ранее, у RuStore есть разрешение UPDATE_PACKAGES_WITHOUT_USER_ACTION.

* Это разрешение позволяет ему обновлять уже установленные приложения VK (включая Max) в фоновом режиме.

* Иногда это используется для "предустановки" компонентов. Например, если у тебя стоит основное приложение VK, RuStore может

под видом "обновления компонентов" докачать модули, которые по факту являются частями других сервисов.

3. Ссылка на APK внутри кода

Помнишь, в прошлом поиске я нашел в RuStore странную ссылку:

https://static.rustore.ru/release/RuStoreTV.apk

Это пример того, что в коде жестко прописаны прямые пути к другим APK-файлам. Это позволяет магазину скачивать их в обход

стандартного каталога, просто по команде с сервера.

4. Рекламные "пуши" с автозапуском

В коде RuStore много логики, связанной с notification-service. Сервер может прислать специальный тип уведомления, при клике на

которое (или даже просто при получении, если есть права "System Alert Window") начнется процесс загрузки мессенджера Max под

предлогом "Важное обновление безопасности" или "Рекомендуемое приложение".

5. Предустановки (Bloatware)

Если твой телефон изначально "локализован" для РФ, RuStore может работать в связке с системным мастером настройки. В этом

случае он может установить Max в момент первого включения телефона или после крупного обновления системы, используя скрытые

системные привилегии.

Итог:

Есть ли "вирусная" установка? Нет.

Есть ли "хитрая" установка? Да.

RuStore — это не просто магазин, это администратор твоих приложений. Он использует систему VK ID для создания единой сети.

Если ты пользуешься одним сервисом VK, RuStore будет использовать все свои права, чтобы "подтянуть" остальные, максимально

упрощая (и иногда скрывая) процесс их установки.

TL:DR: Конкретно для мессенджера MAX на данный момент никаких автоматических средств установки в коде нет. Зато есть функции которые позволяют начать установку фактически чего угодно при получении пуш уведомления. То есть даже жать никуда не надо, всё само установится. И уже есть прямые ссылки на другие APK файлы.

Важное уточнение: Google AppStore действует практически так же за исключением количества трекеров, отслеживания сетевой активности, звонков и того факта что Google - разработчики Android и по умолчанию имеют всю полноту власти над смартфоном.

Теперь плавно переходим к разделу MAX (хотя Gemini его упорно называет ТамТам)

Разбор второго файла — ru.oneme.app_6724_rs.apk (судя по всему, это приложение ТамТам или связанный с ним мессенджер/соцсеть

от VK/Mail.ru).

Здесь ситуация похожая на RuStore, но со своей спецификой мессенджера.

1. Отслеживание и аналитика (Tracking)

Приложение под завязку набито трекерами:

* VK Analytics (vk-analytics.ru): Глубокая интеграция с аналитикой VK.

* MyTracker: Тот же мощный трекер от Mail.ru, что и в RuStore.

* Yandex Maps/Geocode SDK: Используется не только для карт, но и для сбора данных о местоположении.

* Google Firebase/Analytics: Стандартный набор от Google.

2. Опасные разрешения (Permissions)

Как для мессенджера, список прав огромный и включает в себя "полный доступ" к твоей жизни:

* Микрофон и Камера (RECORD_AUDIO, CAMERA): Понятно для звонков, но дает возможность слушать/смотреть в фоновом режиме.

* Контакты (READ_CONTACTS, WRITE_CONTACTS): Собирает всю твою записную книжку на сервера компании.

* Геолокация (ACCESS_FINE_LOCATION): Постоянное отслеживание перемещений.

* Доступ к файлам и фото: Полный доступ к памяти устройства.

* Управление звонками (MANAGE_OWN_CALLS, BIND_TELECOM_CONNECTION_SERVICE): Приложение может интегрироваться в системный

интерфейс звонков и управлять ими.

* NFC: Зачем мессенджеру NFC? Вероятно, для каких-то внутренних платежных функций или передачи контактов "прикладыванием".

* System Alert Window: Разрешение "поверх других окон". Это позволяет рисовать свои кнопки/окна поверх всего, что ты делаешь

в других приложениях (часто используется для фишинга или перехвата нажатий).

3. Технические странности

* Нашел строки ru.ok.android.externcalls.sdk.analytics — это указывает на SDK от Одноклассников (Ok.ru). То есть приложение

обменивается данными еще и с их инфраструктурой.

* Используются биометрические данные (USE_BIOMETRIC, USE_FINGERPRINT).

Итог по этому APK:

Это типичное современное "супер-апп" приложение от крупного российского холдинга.

С точки зрения безопасности:

* Это не вредонос, ворующий деньги напрямую.

* Но это легальный шпион. Оно знает: где ты, с кем ты общаешься, что у тебя в галерее, какие у тебя контакты и как выглядит

твое лицо/отпечаток.

Избыточность:

Если в RuStore избыточными были права на звонки, то здесь избыточным является количество параллельно работающих трекеров

(минимум 3 разных системы аналитики), которые дублируют друг друга, чтобы ни один твой "чих" не прошел мимо серверов

VK/Mail.ru.

TL:DR: Собирает огромное количество инфы абсолютно обо всём и отправляет сразу в несколько "разных" компаний. Следит вообще за всем так как имеет доступ даже к оверлею экрана который при необходимости позволит отслеживать все действия пользователя.

Спросил при чём тут ТамТам

О, извини за путаницу с названиями! Объясню, почему я так сказал:

Дело в том, что "Max" (или Мессенджер Мах) — это ребрендинг мессенджера TamTam. Технически это одно и то же приложение, просто

с другим названием и иконкой.

Вот доказательства, которые я увидел прямо в коде твоего APK:

1. Идентификатор (Package Name): Внутри файла прописано имя пакета ru.oneme.app. Это исторический ID мессенджера TamTam.

2. Ссылки в коде: В списке URL, который я вытащил из твоего файла, есть оба названия:

* https://download.max.ru — это официальный сайт твоего мессенджера.

* https://api.ok.ru и https://api.tamtam.chat — это сервера, к которым приложение обращается за данными.

3. Разработчик: И TamTam, и Max разрабатываются одной командой (структуры VK/Одноклассники).

Почему это важно для безопасности:

Раз это "под капотом" тот же TamTam, то он использует ту же самую систему сбора данных. Если ты посмотришь в мои предыдущие

ответы, там были строки вроде ru.ok.android.externcalls.sdk.analytics — это как раз "хвосты" от платформы Одноклассников, на

базе которой построен этот мессенджер.

Так что, называй его Max, но имей в виду: всё, что я написал про избыточные трекеры и разрешения, относится именно к нему. Это

очень тяжелое и "любопытное" приложение для простого обмена сообщениями.

P.S. Кстати, в списке ссылок из твоего файла была даже прямая ссылка на скачивание: https://download.max.ru/#android. Это

подтверждает, что мы смотрим именно тот файл.

То есть да, MAX = ТамТам v.1.1

Теперь что до прямых сравнений. Телега тоже в этом плане не образец скромности и имеет приличное количество доступов. Но ей очень далеко до MAX в плане "любопытности".

Нужно понимать что любой мессенджер, любой магазин приложений будут иметь много власти над вашим смартфоном. Вопрос в том, доверяем мы издателю\автору приложения или нет.

С учётом того сколько раз базы пользователей отечественного софта улетали в руки хацкерам, я пожалуй не хочу отдавать им своё цифровое досье.

И ещё момент, я не буду уже вставлять больше кусков разборов от нейронки, однако хочу упомянуть что мнение о MAX как о мессенджере "из говна и палок лишь бы товарищ Майор был рад" в корне неверное.

Это сложный "франкенштейн" собранный из разных библиотек и фреймворков которые сделаны именно под ключевые задачи - например Fresco от Facebook (принадлежит Meta, а Meta - иноагент и всё такое и запрещена на территории РФ, ъуъ) для работы с изображениями или ExoPlayer для работы с видео. А ещё там есть такие вещи как MLkit (machine learning от Google) и много всякого интересного.

Отсюда и конский как для мессенджера "вес". И требование минимум 10 Android (хотя вроде как с недавних пор ставится на 8) и "лагучесть" и внезапные косяки типа пересылок видео не тому адресату - прямые следствия перегруженности приложухи настолько, что напоминает анекдот про "а теперь мы со всей этой хернёй попытаемся взлететь".

Така фигня, малята. Пардон за стену текста.