Технологии и медиа
эксклюзив

Минцифры признало сложность выявления VPN на iPhone

Минцифры направило крупнейшим интернет-компаниям рекомендации, в которых указало на «существенное ограничение» поиска VPN на iPhone. Причина в том, что iOS не позволяет сторонним сервисам собирать информацию из других приложений

Комсомольская правда / Global Look Press

Фото: Комсомольская правда / Global Look Press

Входит в сюжеты
В этой статье

Выявление VPN на iPhone «существенно ограничено», следует из методических рекомендаций по выявлению подобных сервисов на устройствах пользователей. Эти рекомендации Минцифры направило крупнейшим российским интернет-компаниям (копия есть у РБК, ее подлинность подтвердили три источника на IT-рынке).

Методичку рассылали в продолжение совещаний, которое Минцифры проводило с крупнейшими российскими интернет-компаниями по размеру аудитории, в том числе «Сбером», «Яндексом», VK, Wildberries, Ozon, Avito, X5 и др. — всего более 20 площадок. На них глава министерства Максут Шадаев поручил компаниям к 15 апреля ограничить доступ к интернет-сервисам пользователям с включенным VPN. Те компании, сервисы которых продолжат работать при включенных у пользователей VPN, могут лишиться IT-аккредитации, которая дает право на льготы; исключены из белого списка сервисов, которые должны быть доступны при отключении интернета; исключены из списка ресурсов, обязательных для предустановки на гаджеты российских пользователей. Причем по задумке властей владельцы наиболее популярных ресурсов не только должны будут блокировать доступ к ним пользователей с включенным VPN, но и помогать находить те VPN-сервисы, которые Роскомнадзор (РКН) ранее не идентифицировал и не ограничивал.

РБК направил запрос в Минцифры.

Как предлагают выявлять VPN

В методичке Минцифры отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS — и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — говорится в документе.

Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа.

  1. Определять IP-адрес устройства и сравнивать его с теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов.
  2. Проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве).
  3. Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).

Например, если страна и регион пользователя по IP-адресу не совпадут с российскими, или совпадут с ранее заблокированными РКН, или если будет выявлено, что у пользователя часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.

При этом в материалах указано, что осуществить второй этап проверки на устройствах iOS от Apple сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях. Для Android ситуация проще: там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идет через VPN.

В конце марта Максут Шадаев попросил «большую четверку» мобильных операторов ограничить пополнение Apple ID со счета мобильного телефона, объясняя это необходимостью бороться с VPN-сервисами. Apple еще в 2022 году отключила возможность пополнения картами «Мир» Apple ID, с которого можно оплатить использование дополнительных сервисов как самой американской компании, так и платные приложения сторонних разработчиков. У МТС и «ВымпелКома» (бренд «Билайн») была возможность пополнять Apple ID напрямую со счета мобильного телефона, у «МегаФона» и «Т2 Мобайл» (Т2) через партнеров можно было приобрести подарочные сертификаты для пополнения Apple ID. Но все перечисленные операторы отключили подобную опцию с 1 апреля.

Среди других способов борьбы с VPN, которые глава Минцифры предлагал реализовать операторам связи, — введение платы за использование более 15 Гб международного трафика в месяц. Но это предложение пока не реализовано.

Какие проблемы видит Минцифры

Помимо сложностей с iOS в материалах министерства описан еще ряд ситуаций, когда выявление VPN затруднено или невозможно:

  • VPN на роутерах. Если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.
  • VPN в виртуальных машинах. Если средство обхода блокировок развернуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено.
  • Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
  • Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.
  • CDN (сети доставки контента — специальные серверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.
  • Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.

Ранее собеседники РБК указывали, что предложенная Минцифры методика выявления пользователей с включенным VPN может давать сбои, из-за которых сервисы будут блокировать тех, кто физически находится на рубежом, и тех, у кого включен корпоративный VPN. В документе для последних сделано исключение. Для корпоративных VPN, которые бизнес использует для безопасного доступа сотрудников к рабочим ресурсам из дома, будет сформирован белый список, в который должны попасть известные корпоративные VPN и легитимные прокси-серверы. Также предполагается, что компании будут учитывать исторические данные: если устройство использует корпоративный VPN в рабочее время и отключает его в нерабочее, такой сценарий может быть идентифицирован и исключен. В документе описан еще ряд технических способов верифицировать корпоративные VPN и отмечается, что в случае, когда компания не сможет принять однозначное решение, ей нужно будет провести повторную проверку через некоторое время или комбинировать результат с другими источниками данных (GPS устройства, информация о сотовой вышке, история предыдущих успешных аутентификаций).

В методичке также рекомендуется не проводить на устройстве пользователя непрерывный мониторинг состояния VPN: «Это будет негативно влиять на расход трафика и потребление заряда батареи».

Авторы
Теги
Екатерина Шокурова
Автор телеком-отдела РБК
Анна Балашова
МинцифрыVPNограничения