Минцифры признало сложность выявления VPN на iPhone

Минцифры направило крупнейшим интернет-компаниям рекомендации, в которых указало на «существенное ограничение» поиска VPN на iPhone. Причина в том, что iOS не позволяет сторонним сервисам собирать информацию из других приложений

Выявление VPN на iPhone «существенно ограничено», следует из методических рекомендаций по выявлению подобных сервисов на устройствах пользователей. Эти рекомендации Минцифры направило крупнейшим российским интернет-компаниям (копия есть у РБК, ее подлинность подтвердили три источника на IT-рынке).

«Методичку» рассылали в продолжение совещаний, которое Минцифры проводило с крупнейшими российскими интернет-компаниями по размеру аудитории, в том числе «Сбером», «Яндексом», VK, Wildberries, Ozon, Avito, X5 и др. — всего более 20 площадок. На них глава министерства Максут Шадаев поручил компаниям к 15 апреля ограничить доступ к интернет-сервисам пользователям с включенным VPN. Те компании, сервисы которых продолжат работать при включенных у пользователей VPN, могут <a class=«link primary» href=«www. kommersant.ru/doc/8552209» target="_blank" data-type=«next»>лишиться

IT-аккредитации, которая дает право на льготы; исключены из «белого списка» сервисов, которые должны быть доступны при отключении интернета; исключены из списка ресурсов, обязательных для предустановки на гаджеты российских пользователей. Причем по задумке властей владельцы наиболее популярных ресурсов не только должны будут блокировать доступ к ним пользователей с включенным VPN, но и помогать находить те VPN-сервисы, которые Роскомнадзор ранее не идентифицировал и не ограничивал.

В методичке Минцифры отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS, и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — говорится в документе.

Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа:

1. определять IP-адрес устройства и сравнивать его теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;
2. проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве);
3. проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).

Например, если страна и регион пользователя по IP-адресу не совпадет с российскими, или совпадет с ранее заблокированными РКН, или, если будет выявлено, что у пользователь часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.

При этом в материалах указано, что осуществить второй этап проверки на устройствах iOS от Apple сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях. Для Android ситуация проще: там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идет через VPN.

В конце марта Максут Шадаев попросил «большую четверку» мобильных операторов ограничить пополнение Apple ID со счета мобильного телефона, объясняя это необходимостью бороться с VPN-сервисами. Apple еще в 2022 году отключила возможность пополнения картами МИР Apple ID, с которого можно оплатить использование дополнительных сервисов как самой американской компании, так и платные приложения сторонних разработчиков. У МТС и «ВымпелКома» (бренд «Билайн») была возможность пополнять Apple ID напрямую со счета мобильного телефона, у «МегаФона» и «Т2 Мобайл» (Т2) через партнеров можно было приобрести подарочные сертификаты для пополнения Apple ID. Но все перечисленные операторы отключили подобную опцию с 1 апреля.

Среди других способов борьбы с VPN, которые глава Минцифры предлагал реализовать операторам связи — введение платы за использование более 15 Гб международного трафика в месяц. Но это предложение пока не реализовано.

Помимо сложностей с iOS в материалах министерства описаны еще ряд ситуаций, когда выявление VPN затруднено или невозможно:

• VPN на роутерах. Если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно;
• VPN в виртуальных машинах. Если средство обхода блокировок развернуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено;
• Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам;
• Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна;
• CDN (сети доставки контента — специальные верверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN;
• Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.

Ранее собеседники РБК указывали, что предложенная Минцифры методика выявления пользователей с включенным VPN может давать сбои, из-за которых сервисы будут блокировать тех, кто физически находится на рубежом, и тех, у кого включен корпоративный VPN. В документе для последних сделано исключение. Для корпоративных VPN, которые бизнес использует для безопасного доступа сотрудников к рабочим ресурсам из дома, будет сформирован «белый список», в которые должны попасть известные корпоративные VPN и легитимные прокси-серверы. Также предполагается, что компании будут учитывать исторические данные: если устройство использует корпоративный VPN в рабочее время и отключает его вне рабочее, такой сценарий может быть идентифицирован и исключен. В документе описаны еще ряд технических способов верифицировать корпоративные VPN и отмечается, что в случае, когда компания не сможет принять однозначное решение, ей нужно будет провести повторную проверку через некоторое время или комбинировать результат с другими источниками данных (GPS устройства, информация о сотовой вышке, история предыдущих успешных аутентификаций).

В методичке также рекомендуется не проводить на устройстве пользователя непрерывный мониторинг состояния VPN: «Это будет негативно влиять на расход трафика и потребление заряда батареи».

www.rbc.ru/technology_and_media/05/04/2026/69d246539a7947d893b08ff0?from=newsfeed