Минцифры признало сложность выявления VPN на iPhone
Минцифры разослало более 20 крупнейшим сервисам — Сбер, Яндекс, VK, Wildberries, Ozon, Авито, X5 и другим — методичку по выявлению VPN у пользователей и поставило срок до 15 апреля. Если компании не встроятся в эту схему, им грозит лишение IT-аккредитации с потерей льгот, вылет из белых списков (доступ при отключённом интернете) и из перечня приложений для обязательной предустановки на гаджеты.
Министерство предлагает платформам реализовать трёхэтапную проверку. Сначала сервис смотрит на IP-адрес: совпадает ли он с российскими диапазонами, не относится ли к уже заблокированным Роскомнадзором, не менялись ли у пользователя «страны» слишком часто. Затем, если у компании есть своё приложение на устройстве, оно должно попытаться определить наличие средств обхода блокировок уже на самом устройстве. И на третьем этапе, который можно реализовать позднее — проверять использование VPN на десктопных системах вроде Windows и macOS.
Второй пункт — самое интересное. Дело в том, что на Android у приложений есть доступ к системным механизмам вроде ConnectivityManager и NetworkCapabilities. То есть любое установленное приложение, например WB, Сбер или Озон, может запросить параметры активного интернет соединения и понять, идёт ли трафик через VPN-туннель.
Но на iPhone (и других устройствах с iOS) такой фокус просто невозможен: политика конфиденциальности iOS строится на изоляции приложений друг от друга — iOS просто изначально не даёт сторонним приложениям доступ к системной информации о сети и VPN-трафику. Apple сознательно держит этот уровень доступа закрытым, и менять архитектуру под запрос российского регулятора вряд ли собирается.
Другими словами, Минцифры хочет, чтобы приложения вроде WB, Сбера или Ozon (пока на Android, раз с Apple это невозможно), с одной стороны, сами отсекали пользователей с VPN, а с другой стороны — собирали и передавали «наверх» данные о новых VPN-сервисах, которые ещё не попали в блок-листы, чтобы эти сервисы тоже были заблокированы.
Кстати, помимо iOS в методичке перечислены иные ситуации, где задуманная министерством схема просто не работает. Например, если VPN настроен не на телефоне, а на домашнем роутере, сам смартфон никак не показывает, что трафик идёт через VPN и ряд других случаев, плюс новые VPN и обходы появляются быстрее, чем регулятор успевает обновлять свои списки.
На этом фоне требование регулятора до 15 апреля внедрить требуемые меры выглядит заведомо невыполнимым в полном объёме. Минцифры требует от компаний выявлять использование VPN, в том числе на iOS, хотя в самой методичке признаёт, что второй этап проверки на iPhone фактически недоступен. Компании физически не могут реализовать этот уровень контроля, но формально остаются ответственными и рискуют льготами и статусом.
Логика здесь, видимо, больше политическая, чем техническая. Скорее всего, Минцифры будет достаточно того, что бизнес покажет «добрую волю» — реализует проверку по IP, внедрит фильтры и начнёт блокировать очевидный VPN-трафик и хотя бы отчитаетcя о попытках. Невозможность глубокой проверки на iOS де-факто, думаю, примут, но сама норма останется — как инструмент давления на случай, если какая-то платформа перестанет вести себя лояльно. Это типичный приём нашего регулирования: создать конструкцию, которую нельзя выполнить полностью, чтобы в любой момент можно было предъявить претензию и напомнить бизнесу, кто в системе главный. Ну и всегда остаётся альтернативный вариант — признать Apple террористической организацией и запретить.
