RuStore: Instalação Silenciosa de Apps e Monitoramento GPS Constante Geram Alerta de Privacidade
Uma análise profunda do RuStore revela a instalação não solicitada de aplicativos como o MAX Messenger e o monitoramento contínuo da localização GPS, levantando sérias preocupações sobre a privacidade do usuário e a segurança de dados.
MundiX News·12 de junho de 2026·7 min de leitura·👁 8 views
A partir de 1º de abril de 2024, o RuStore, loja de aplicativos russa, começou a ser pré-instalado em todos os telefones vendidos na Federação Russa. Uma análise de engenharia reversa do aplicativo revelou funcionalidades preocupantes, incluindo a instalação automática de aplicativos e o monitoramento constante da localização GPS do usuário, sem consentimento explícito.
Uma das descobertas mais alarmantes é a capacidade do RuStore de instalar o aplicativo MAX Messenger e outros softwares de forma silenciosa e sem o conhecimento do usuário. Isso é feito através de um 'instalador silencioso' que recebe um comando do servidor para instalar um pacote específico. Essa funcionalidade, conhecida como PreorderAutoInstallPushDto, permite que o RuStore inicie a instalação de qualquer aplicativo a partir do seu catálogo, simplesmente recebendo um push message do servidor. A lógica por trás disso envolve um sistema de 'feature flags' (SAK_MAX_MESSENGER_INSTALL) que, quando ativado remotamente, instrui o instalador do sistema a proceder com a instalação sem qualquer interação do usuário. O código analisado demonstra que o instalador do RuStore, com privilégios de sistema, pode executar instalações sem a necessidade de confirmação do usuário (setRequireUserAction(USER_ACTION_NOT_REQUIRED)), o que é uma violação dos padrões de segurança esperados para lojas de aplicativos.
Além da instalação não solicitada, o RuStore implementa um subsistema de telemetria chamado 'Radar', que coleta dados detalhados sobre o dispositivo e o usuário. Este subsistema armazena localmente em um banco de dados SQLite informações como ID do usuário, múltiplas coordenadas de geolocalização (GPS, rede, último local conhecido), BSSID do roteador Wi-Fi, lista de torres de celular, operadora SIM e status de VPN ou roaming. Esses dados são coletados em intervalos regulares (configuráveis remotamente, com um padrão de a cada 2 minutos via heartbeat) e enviados para os servidores da VK. A tabela snapshot_records detalha a amplitude dos dados coletados, incluindo histórico de movimentação, informações de rede e status da bateria. Essa coleta contínua de dados de localização, mesmo quando o aplicativo não está em uso ativo, levanta sérias questões sobre a privacidade do usuário, pois transforma o que deveria ser uma loja de aplicativos em um dispositivo de rastreamento GPS.
Outra funcionalidade preocupante é a forma como o RuStore lida com tokens de autenticação. Através da interface AIDL com.vk.silentauth.ISilentAuthInfoProvider, o RuStore pode fornecer tokens de autenticação VK para aplicativos de terceiros sem solicitar o consentimento explícito do usuário. A decisão de quais aplicativos recebem esses tokens é feita pelo servidor da VK, criando um mecanismo onde o sistema operacional pode inadvertidamente conceder acesso a informações sensíveis do usuário a aplicativos não confiáveis. Adicionalmente, o RuStore coleta e envia estatísticas de uso de aplicativos para os servidores da VK, incluindo quais aplicativos o usuário utiliza e com que frequência, mesmo quando o usuário não está logado. Essa coleta agressiva de dados de uso, vinculada ao ANDROID_ID do dispositivo, configura uma vigilância invasiva da atividade do usuário, sem justificativa clara para a sincronização em nuvem ou para a necessidade de coletar dados de todos os aplicativos em vez de apenas jogos, como poderia ser alegado.
A partir de 1º de abril de 2024, o RuStore, loja de aplicativos russa, começou a ser pré-instalado em todos os telefones vendidos na Federação Russa. Uma análise de engenharia reversa do aplicativo revelou funcionalidades preocupantes, incluindo a instalação automática de aplicativos e o monitoramento constante da localização GPS do usuário, sem consentimento explícito.
Uma das descobertas mais alarmantes é a capacidade do RuStore de instalar o aplicativo MAX Messenger e outros softwares de forma silenciosa e sem o conhecimento do usuário. Isso é feito através de um 'instalador silencioso' que recebe um comando do servidor para instalar um pacote específico. Essa funcionalidade, conhecida como PreorderAutoInstallPushDto, permite que o RuStore inicie a instalação de qualquer aplicativo a partir do seu catálogo, simplesmente recebendo um push message do servidor. A lógica por trás disso envolve um sistema de 'feature flags' (SAK_MAX_MESSENGER_INSTALL) que, quando ativado remotamente, instrui o instalador do sistema a proceder com a instalação sem qualquer interação do usuário. O código analisado demonstra que o instalador do RuStore, com privilégios de sistema, pode executar instalações sem a necessidade de confirmação do usuário (setRequireUserAction(USER_ACTION_NOT_REQUIRED)), o que é uma violação dos padrões de segurança esperados para lojas de aplicativos.
Além da instalação não solicitada, o RuStore implementa um subsistema de telemetria chamado 'Radar', que coleta dados detalhados sobre o dispositivo e o usuário. Este subsistema armazena localmente em um banco de dados SQLite informações como ID do usuário, múltiplas coordenadas de geolocalização (GPS, rede, último local conhecido), BSSID do roteador Wi-Fi, lista de torres de celular, operadora SIM e status de VPN ou roaming. Esses dados são coletados em intervalos regulares (configuráveis remotamente, com um padrão de a cada 2 minutos via heartbeat) e enviados para os servidores da VK. A tabela snapshot_records detalha a amplitude dos dados coletados, incluindo histórico de movimentação, informações de rede e status da bateria. Essa coleta contínua de dados de localização, mesmo quando o aplicativo não está em uso ativo, levanta sérias questões sobre a privacidade do usuário, pois transforma o que deveria ser uma loja de aplicativos em um dispositivo de rastreamento GPS.
Outra funcionalidade preocupante é a forma como o RuStore lida com tokens de autenticação. Através da interface AIDL com.vk.silentauth.ISilentAuthInfoProvider, o RuStore pode fornecer tokens de autenticação VK para aplicativos de terceiros sem solicitar o consentimento explícito do usuário. A decisão de quais aplicativos recebem esses tokens é feita pelo servidor da VK, criando um mecanismo onde o sistema operacional pode inadvertidamente conceder acesso a informações sensíveis do usuário a aplicativos não confiáveis. Adicionalmente, o RuStore coleta e envia estatísticas de uso de aplicativos para os servidores da VK, incluindo quais aplicativos o usuário utiliza e com que frequência, mesmo quando o usuário não está logado. Essa coleta agressiva de dados de uso, vinculada ao ANDROID_ID do dispositivo, configura uma vigilância invasiva da atividade do usuário, sem justificativa clara para a sincronização em nuvem ou para a necessidade de coletar dados de todos os aplicativos em vez de apenas jogos, como poderia ser alegado.
