Методичка

Минцифры направило крупнейшим российским интернет-компаниям методичку по выявлению VPN на телефонах пользователей, выяснили в РБК. Как стало известно журналистам, документ был отправлен после совещаний Минцифры с более чем 20 интернет-площадками: «Сбером», «Яндексом», VK, Wildberries, Ozon, Avito, X5 и другими. На этих же совещаниях глава министерства Максут Шадаев поручил к 15 апреля ограничить доступ к интернет-сервисам пользователям с включенным VPN. В противном случае — лишать компании IT-аккредитации, дающей право быть в белых списках.

Минцифры предлагает выявлять VPN, в первую очередь, на Android и iOS, потому что ими пользуются больше половины пользователей. На проверку выделяется три этапа:

• Определять IP-адрес устройства и сверять его с российскими IP, а также со списком заблокированных Роскомнадзором;
• Проверять использование средств обхода блокировок через собственное приложение (если установлено на устройстве);
• Определять использование VPN на устройствах с ОС, отличными от Android и iOS (например, Windows, macOS).

В методичке указано, что осуществить второй этап проверки на айфонах сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Дело в том, что IOS не разрешает сторонним приложениям собирать или изменять информацию, хранящуюся в других приложениях. У Аndroid любое приложение может запросить параметры активной сети и выяснить, идет ли трафик через VPN. При этом 

Также в методичке описаны ситуации, когда компаниям будет сложно выявить наличие VPN: когда он установлен на роутерах или «в виртуальных машинах», когда пользователи используют прокси-серверы и режим split tunneling, а также CDN (сети доставки контента). Помимо этого, компании сложно отследить новые VPN-сервисы, так как «они появляются быстрее, чем обновляются репутационные базы IP-адресов».

Последствия

Киберадвокат и сооснователь «Роскомсвободы» Саркис Дарбинян объясняет, что маркетплейсы смогут реализовать контроль за VPN, как указано в методичке. 

«Скорее всего, платформам предложено внедрять шпионский модуль MAX, который уже был уже уличен в этом, в сам исходный код приложений, которыми пользуются россияне. Модуль может проверять наличие VPN-соединения, а также систематически отправлять запросы к некоторым российским и зарубежным серверам. В том числе к серверам телеграма (main.telegram.org) и вотсапа (mmg.whatsapp.net)», — указал эксперт.

Таким образом он сможет проверять доступность этих ресурсов на пользовательском устройстве. По словам Дарбиняна, если модуль обнаружит доступность, то после сможет блокировать полностью или частично доступ к тому же приложению Ozon или Wildberiies. 

При этом внедрение подобной технологии сильно повлияет на сам бизнес. Как отмечает собеседник «Новой-Европа», методичка «буквально инструктирует отечественные IT-компании, какие шпионские модули они должны разработать или внедрить для своих мобильных приложений». По его словам, для бизнес-приложений это беспрецедентный шаг, который может окончательно подорвать доверие пользователей к российскому софту и сервисам. 

— подчеркивает Дарбинян.

В результате приложения этих компаний могут навсегда удалить из AppStore и PlayMarket за нарушений условий конфиденциальности. У самих разработчиков в таком случае могут отозвать лицензии за грубое нарушение правил конфиденциальности. В таком случае они не смогут загружать свои приложения в другие магазины приложений даже в других странах. Как считает Дарбинян, RuStore не такой уж популярный, «чтобы только на нём выжить»:

— Это неизбежно приведет к потере аудитории, а следовательно и к прибыли компаний. Думаю, компании будут пытаться делать всё, чтобы саботировать методичку и не спешить с внедрением предлагаемых новшеств.