Кратко
Независимый анализ APK‑файла государственного мессенджера выявил набор функций, позволяющих собирать подробную информацию об устройствах пользователей и обходить стандартные механизмы анонимности и безопасности.
Что обнаружили в коде приложения
- Сбор полного списка установленных приложений и отправка этих данных на серверы разработчиков.
- Поиск и проверка наличия и активности VPN‑сервисов; встроенный скрытый SDK, позволяющий определять реальный IP в обход работающего VPN.
- Постоянное отслеживание изменений в списке контактов, в том числе информации о людях, не зарегистрированных в мессенджере.
- Инструменты для тайной записи звука с микрофона и последующая отправка аудиоаналитики на сервер.
- Возможность удалять сообщения из локальной базы телефона с помощью скрытых push‑запросов.
- Загрузка и установка собственных обновлений в обход официального магазина приложений.
- Контроль NFC‑чипа через внутренние мини‑приложения и отправка кастомных команд на терминалы.
По мнению автора исследования, совокупность этих механизмов представляет серьёзный риск для приватности и безопасности пользователей: данные о приложениях и контактах, деанонимизация трафика и возможность скрытой записи аудио могут использоваться для целевого мониторинга и вмешательства в устройство.
Эксперты и пользователи призывают к прозрачности, независимым проверкам кода и разъяснениям со стороны разработчиков и регуляторов о целях и объёме собираемых данных.
Иллюстративное изображение
