Минцифры признало сложность выявления VPN на iPhone

В методичке Минцифры отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS — и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — говорится в документе.

Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа:

1. Определять IP-адрес устройства и сравнивать его с теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов.

2. Проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве).

3. Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).

Например, если страна и регион пользователя по IP-адресу не совпадут с российскими, или совпадут с ранее заблокированными РКН, или если будет выявлено, что у пользователя часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.

При этом в материалах указано, что осуществить второй этап проверки на устройствах iOS от Apple сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях. Для Android ситуация проще: там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идет через VPN.

В конце марта Максут Шадаев попросил «большую четверку» мобильных операторов ограничить пополнение Apple ID со счета мобильного телефона, объясняя это необходимостью бороться с VPN-сервисами. Apple еще в 2022 году отключила возможность пополнения картами «Мир» Apple ID, с которого можно оплатить использование дополнительных сервисов как самой американской компании, так и платные приложения сторонних разработчиков. У МТС и «ВымпелКома» (бренд «Билайн») была возможность пополнять Apple ID напрямую со счета мобильного телефона, у «МегаФона» и «Т2 Мобайл» (Т2) через партнеров можно было приобрести подарочные сертификаты для пополнения Apple ID. Но все перечисленные операторы отключили подобную опцию с 1 апреля.

Среди других способов борьбы с VPN, которые глава Минцифры предлагал реализовать операторам связи, — введение платы за использование более 15 Гб международного трафика в месяц. Но это предложение пока не реализовано.

Помимо сложностей с iOS в материалах министерства описан еще ряд ситуаций, когда выявление VPN затруднено или невозможно:

- VPN на роутерах. Если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.

- VPN в виртуальных машинах. Если средство обхода блокировок развернуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено.

- Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.

- Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.

- CDN (сети доставки контента — специальные серверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.

- Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.