В Минцифры признали, что выявлять VPN на iPhone сложно: как будут выявлять VPN у россиян и какие есть проблемы

Выявление VPN на iPhone «существенно ограничено», пишет РБК со ссылкой на методические рекомендации Минцифры по выявлению VPN на устройствах россиян.

Речь о рекомендациях, которые ведомство направило российским площадкам с крупнейшей в стране аудиторией с целью получить с их стороны помощь в блокировке VPN. Фактически российские сервисы будут обязаны передавать регулятору информацию о новых обнаруженных VPN.

В соответствующей методичке Минцифры указывается, что внедрение механизмов для поиска VPN следует начинать именно с гаджетов на Android и iOS, так как больше половины пользовательских устройств — это мобильные устройства под управлением Android и iOS:

«80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах [...]. Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — цитирует РБК предписания из методички.

Как российские сервисы будут проверять наличие VPN у россиян?

Из методических рекомендаций, на которые ссылается РБК, следует три этапа выявления VPN:

1. Определять IP-адрес устройства и сравнивать его теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;

2. Проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве);

3. Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, macOS и другие).

Схема простая: вы зашли в условный маркетплейс, забыли выключить VPN, сервис не дал вам дальше им пользоваться, а затем обнаруженный «айпишник», который посчитал за VPN, направил регулятору. Это может привести к росту блокировок VPN-сервисов.

«Например, если страна и регион пользователя по IP-адресу не совпадёт с российскими, или совпадёт с ранее заблокированными РКН, или, если будет выявлено, что у пользователь часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки», — объясняет РБК.

Какие проблемы имеет эта инициатива по мнению Минцифры?

Как пишет РБК, «методичке» указано, что осуществить второй этап проверки на iOS-устройствах сложно, потому что «на iOS доступ к системным параметрам существенно ограничен»:

«Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях».

В случае с Android-устройствами, в таких гаджетах работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идёт через VPN.

Минцифры также указывает, что выявление VPN затруднено или невозможно не только на iOS, но и в ряде других случаев: если средство обхода блокировок настроено на пользовательском роутере, на самом устройстве не остаётся локальных артефактов; если VPN развёрнут внутри виртуальной машины или контейнера, его также сложно обнаружить; прокси-серверы с IP-адресами обычных домашних провайдеров невозможно определить по базам.

Кроме того, проблематично, если при split tunneling через VPN идёт трафик лишь отдельных приложений, тогда как остальной передаётся напрямую, из-за чего проверки по одной активной сети недостаточно; кроме того, CDN и глобальные сервисы могут искажать местоположение устройства без использования VPN, а новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.

• «Методичку» рассылали в продолжение совещаний, которое Минцифры проводило с крупнейшими российскими интернет-компаниями по размеру аудитории, уточняет РБК.

• Всего указывается более 20 площадок, в том числе от компаний Сбер, Яндекс, VK, Wildberries, Ozon, Avito, X5 и другие.

• 2 апреля РБК писал, что если у пользователя будет включён VPN из «черного» списка, то с 15 апреля компаниям предписано ограничить доступ на их платформы.

Те компании, сервисы которых продолжат работать при включённых у пользователей VPN, могут лишиться IT-аккредитации, писал «Ъ» в конце марта. Собеседники РБК при этом признавали, что под волну банов могут попасть и разрешённые корпоративные VPN-сервисы:

«[Источник] оговорился, что на текущий момент нет понятного и достоверного технического способа надежно отличать разрешенный корпоративный VPN от иного VPN-трафика, что создает риск множества ложных срабатываний».