В Минцифры признали, что выявлять VPN на iPhone сложно: как будут выявлять VPN у россиян и какие есть проблемы
Кодик кратко объясняет суть статьи
Минцифры разослало методические рекомендации крупнейшим российским интернет-платформам с просьбой помочь в выявлении использования запрещённых средств обхода блокировок (VPN, прокси и аналогов). Сервисы, включая Яндекс, VK, Сбер, Wildberries, Ozon и другие, обязаны будут проверять наличие таких средств у пользователей и передавать данные регулятору. Основной упор делается на мобильные устройства под управлением Android и iOS, где установлено около 80% приложений, способных обнаруживать обходные инструменты. Механизм выявления включает три этапа: анализ IP-адреса (на несоответствие геолокации, совпадение с заблокированными адресами), проверку через собственное приложение на устройстве и контроль на других ОС. Однако на iOS проверка затруднена из-за ограничений системы — приложения не могут получать доступ к системным параметрам и трафику других приложений. На Android такая проверка возможна через системные API. Проблемы инициативы: невозможность обнаружить VPN, настроенный на роутере или в виртуальной машине, сложности при split tunneling, маскировка трафика через прокси с домашними IP, искажение геолокации CDN, а также отсутствие надёжного способа отличить корпоративные VPN от запрещённых, что ведёт к риску ложных срабатываний. С 15 апреля компаниям предписано ограничивать доступ пользователям с запрещёнными VPN. Сервисы, не выполняющие требования, рискуют потерять IT-аккредитацию. Документ распространяется на более чем 20 крупных цифровых платформ.
Читайте в Telegram
|
Выявление VPN на iPhone «существенно ограничено», пишет РБК со ссылкой на методические рекомендации Минцифры по выявлению VPN на устройствах россиян.
Речь о рекомендациях, которые ведомство направило российским площадкам с крупнейшей в стране аудиторией с целью получить с их стороны помощь в блокировке VPN. Фактически российские сервисы будут обязаны передавать регулятору информацию о новых обнаруженных VPN.
В соответствующей методичке Минцифры указывается, что внедрение механизмов для поиска VPN следует начинать именно с гаджетов на Android и iOS, так как больше половины пользовательских устройств — это мобильные устройства под управлением Android и iOS:
«80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах [...]. Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — цитирует РБК предписания из методички.
Как российские сервисы будут проверять наличие VPN у россиян?
Из методических рекомендаций, на которые ссылается РБК, следует три этапа выявления VPN:
- Определять IP-адрес устройства и сравнивать его теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;
- Проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве);
- Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, macOS и другие).
Схема простая: вы зашли в условный маркетплейс, забыли выключить VPN, сервис не дал вам дальше им пользоваться, а затем обнаруженный «айпишник», который посчитал за VPN, направил регулятору. Это может привести к росту блокировок VPN-сервисов.
«Например, если страна и регион пользователя по IP-адресу не совпадёт с российскими, или совпадёт с ранее заблокированными РКН, или, если будет выявлено, что у пользователь часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки», — объясняет РБК.
Какие проблемы имеет эта инициатива по мнению Минцифры?
Как пишет РБК, «методичке» указано, что осуществить второй этап проверки на iOS-устройствах сложно, потому что «на iOS доступ к системным параметрам существенно ограничен»:
«Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях».
В случае с Android-устройствами, в таких гаджетах работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идёт через VPN.
Минцифры также указывает, что выявление VPN затруднено или невозможно не только на iOS, но и в ряде других случаев: если средство обхода блокировок настроено на пользовательском роутере, на самом устройстве не остаётся локальных артефактов; если VPN развёрнут внутри виртуальной машины или контейнера, его также сложно обнаружить; прокси-серверы с IP-адресами обычных домашних провайдеров невозможно определить по базам.
Кроме того, проблематично, если при split tunneling через VPN идёт трафик лишь отдельных приложений, тогда как остальной передаётся напрямую, из-за чего проверки по одной активной сети недостаточно; кроме того, CDN и глобальные сервисы могут искажать местоположение устройства без использования VPN, а новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.
- «Методичку» рассылали в продолжение совещаний, которое Минцифры проводило с крупнейшими российскими интернет-компаниями по размеру аудитории, уточняет РБК.
- Всего указывается более 20 площадок, в том числе от компаний Сбер, Яндекс, VK, Wildberries, Ozon, Avito, X5 и другие.
- 2 апреля РБК писал, что если у пользователя будет включён VPN из «черного» списка, то с 15 апреля компаниям предписано ограничить доступ на их платформы.
Те компании, сервисы которых продолжат работать при включённых у пользователей VPN, могут лишиться IT-аккредитации, писал «Ъ» в конце марта. Собеседники РБК при этом признавали, что под волну банов могут попасть и разрешённые корпоративные VPN-сервисы:
«[Источник] оговорился, что на текущий момент нет понятного и достоверного технического способа надежно отличать разрешенный корпоративный VPN от иного VPN-трафика, что создает риск множества ложных срабатываний».
