Пока вы боялись Max, RuStore уже был в телефоне

Каждый второй "недо-блогер" теперь умеет открывать список разрешений приложения. Ой, оно просит доступ к контактам! Ой, хочет геолокацию! Ой, количество разрешений выросло — это слежка! Молодцы, научились нажимать кнопку "О приложении". Дальше этого, к сожалению, мысль не идёт.

Все обсуждают Мессенджер Max — какой ужас, государство заставляет ставить приложение, оно будет следить, собирать данные, контролировать. Петиции, посты в телеграме, праведный гнев. А тем временем RuStore тихо стоит на каждом новом телефоне в России. Уже установлен, уже работает, уже собирает.

Max вы можете не ставить. RuStore — нет.

О чём эта статья

Я не буду повторять то, что написали сотни блогеров про количество разрешений и как оно выросло с первой версии. Это не новость — все приложения собирают данные. Google собирает, Apple собирает, Яндекс собирает. Вопрос не в том, сколько собирают, а в том, кто собирает и зачем.

Google собирает данные, чтобы продать вам рекламу — это их бизнес-модель. Им экономически невыгодно использовать ваши данные против вас лично, они зарабатывают на агрегированных профилях для рекламодателей. Государство — другая история. Оно может использовать данные адресно, против конкретного человека: для уголовного дела, налоговой проверки, повестки.

Это называется threat model — от кого вы защищаетесь. И вот тут RuStore становится интересным.

Что внутри

Я декомпилировал APK и посмотрел, что там. Спойлер: много.

17 различных SDK для аналитики и трекинга, почти пять тысяч файлов только для сбора данных. Основные:

• AppMetrica (Яндекс) — 1 817 файлов. Аналитика: события, платежи, ошибки, профиль пользователя.
• VK Stat — 1 253 файла. Внутренняя статистика VK.
• Cybertonica — 83 файла. Device fingerprinting, антифрод, детекция root-доступа.
• MyTracker (VK/Mail.ru) — 149 файлов. Attribution, кампании, установки.
• OK Tracer (Одноклассники) — 199 файлов. Crash reports, performance.

Плюс TNS Counter, RuStore Metrics, Kaspersky Stats, Google Firebase, Huawei HMS Ads.

Всё это летит на серверы Яндекса, VK, Mail.ru и собственные серверы RuStore — вся российская tech-экосистема в одном приложении:

startup.mobile.yandex.net
session.cybertonica.ru
reef.vk-cdn.net
tracker-api.my.com
stats.rustore.ru

Что собирается

Все действия пользователя в приложении, информация об устройстве, список установленных приложений, геолокация, платежи и покупки, номер телефона. Cybertonica отдельно проверяет наличие root-доступа и режима разработчика — зачем магазину приложений знать, есть ли у вас root?

Так это плохо?

Не обязательно. То, что данные собираются, не значит, что они используются во вред — Google собирает в десять раз больше, и ничего страшного не происходит. Проблема в другом.

Google — коммерческая компания, их интересуют деньги. Ваши данные для них — рекламный профиль, не более. Им плевать на конкретного Ивана Петрова из Саратова. Государство — не коммерческая компания, у него другие интересы и возможности использовать данные против конкретного человека.

Google: зачем — деньги (реклама). Максимум что сделает — покажет рекламу кроссовок, которые вы гуглили.

Государство: зачем — контроль. Что может сделать в теории — уголовное дело, повестка, налоговая проверка. Прецеденты использования данных из приложений в делах уже есть, вспомните кейсы с геолокацией из фитнес-трекеров.

"А Google под американцами!" — скажете вы. Теоретически да, ФБР может запросить данные, АНБ может иметь доступ, Сноуден не просто так убежал. Но есть нюанс: вы живёте в России. Американскому правительству вы неинтересны — вы не террорист, не шпион, не торговец оружием. Для них вы статистическая погрешность в рекламном профиле. А вот российскому государству вы вполне можете быть интересны: здесь живёте, здесь платите налоги, здесь подлежите призыву, здесь вас могут вызвать на допрос.

Угроза от Google — теоретическая и далёкая. Угроза от RuStore — практическая и близкая.

Что государство технически может узнать

RuStore собирает достаточно данных, чтобы:

Узнать, какие приложения у вас установлены — есть VPN, Tor Browser, мессенджеры с шифрованием, приложения иностранных СМИ?

Связать устройство с человеком — Device ID + номер телефона + геолокация = вы.

Отследить перемещения — где живёте, где работаете, куда ездите.

Построить профиль поведения — когда активны, что покупаете, какие приложения используете.

Но ведь это не уникально?

Да, те же данные есть у операторов связи, у производителей телефонов, у Google. RuStore — не единственный источник. Но RuStore — российский источник под российской юрисдикцией. Данные можно запросить по 152-ФЗ без международных процедур, порог доступа для органов значительно ниже, чем к Google.

И он уже стоит на вашем телефоне.

Почему мне непонятен хайп вокруг Max

Мессенджер Max — приложение, которое вы можете не ставить. Да, давят, да, пугают, но физически никто не заставляет. Можно использовать TOTP, можно игнорировать.

RuStore — приложение, которое уже стоит на каждом телефоне, проданном в России. По умолчанию, без вашего согласия. Удалить на большинстве устройств нельзя — только отключить. 17 SDK аналитики, 5 000 файлов трекинга, список ваших приложений, геолокация. И при этом весь интернет обсуждает Max.

Мне это непонятно.

---

P.S. Нет, это не реклама Max. Они оба — мусор. Просто один мусор вы можете не нести домой, а второй уже лежит у вас под кроватью.