РКН выходят на новый уровень цифрового контроля, превращая обычные, привычные вам приложения вроде какого-нибудь Сбербанка в самое настоящее шпионское ПО. Если раньше блокировки и цензура работали в основном на уровне провайдеров, реестров запрещённых сайтов, затем систем фильтрации трафика типа ТСПУ, то теперь государство, судя по всему, пытается превратить в инструмент слежки сами пользовательские приложения.
В апреле двадцать шестого года российские власти начали давить на крупнейшие интернет-компании в России, чтобы те ограничивали доступ к своим сервисам пользователям, с включенным VPN. Речь идёт о крупных площадках: Сбербанке, Яндексе, ВК, Ozon, Wildberries, Авито и других. Идея в том, чтобы переложить часть контроля с государства на частные компании. Смысл этой схемы очень простой: приложение на телефоне должно определить, включён ли у пользователя VPN, зафиксировать это и как минимум передать данные на сервер. А дальше на основе этой информации можно и блокировать доступ к сервису, и собирать сведения для дальнейшего ограничения самих VPN-сервисов.
По сути, обычное приложение начинает выполнять функции технического наблюдения. И речь идёт уже не только о мессенджерах. Шпионить за вами стали теперь и банковские приложения, браузеры, карты, маркетплейсы, музыкальные сервисы, видеоплатформы и даже приложения доставки еды.
Согласно отчёту RKS Global* (автор не связан с данной организацией, и лишь комментирует их отчет), из тридцати популярных российских приложений для Android 22 определяют, пользуется ли пользователь VPN. Из них 19 отправляют VPN-статус на сервер. Кроме того, 24 из 30 приложений определяют список установленных приложений, а 29 из 30 проверяют наличие root-доступа на устройстве. Это доказывает, что масштаб слежки намного шире, чем просто проверка VPN.
В списке приложений, которые детектируют VPN, названы: Яндекс Браузер, Яндекс Карты, ВКонтакте, Мой МТС, Сбербанк Онлайн, Т-Банк, ВК Видео, Wildberries, Кинопоиск, Ozon, Самокат, RuStore, ВТБ Онлайн, Яндекс Музыка, Авито, Альфа, 2ГИС, Мегамаркет, Одноклассники, RuTube и VK Музыка. В общем, речь идёт не о маргинальных каких-то приложениях, а о довольно-таки известных популярных сервисах, которые люди используют каждый день.
Особенно важно, что некоторые приложения не ограничиваются простой проверкой факта включённого VPN. Например, Самокат и Мегамаркет умеют получать список всех VPN-приложений, установленных на устройстве. Это самая настоящая попытка понять, какими именно инструментами защиты в сети пользуется человек. Отдельно выделяется Яндекс Браузер: в отчёте указано, что это единственное из тридцати приложений, которое ищет на устройстве Tor Browser. То есть браузер, который формально должен быть инструментом доступа в интернет, одновременно проверяет, не использует ли человек средства анонимизации.
Есть и другие методы слежки, которые выглядят ещё серьёзнее, чем проверка наличия VPN. Например, 11 приложений перехватывают действия пользователя на экране: это точки нажатий, давление при нажатии, время касания. Это позволяет собирать так называемую поведенческую биометрию, то есть распознавать человека по тому, как он взаимодействует с экраном. В отчёте среди таких приложений названы Т-Банк, Альфа-Банк, 2ГИС, Яндекс Еда, Мегамаркет, Мой МТС, Одноклассники, Госуслуги, RuTube, Сбербанк Онлайн и Яндекс Музыка.
Авито, согласно исследованию, может определять наличие более 200 установленных сторонних приложений на устройстве. В их числе банки, маркетплейсы, соцсети, сервисы и конкуренты. Это означает, что приложение способно собирать довольно подробный цифровой профиль пользователя просто по набору установленных программ. Ozon, как указано в отчёте, содержит привязки к таким программам удалённого доступа как AnyDesk и TeamViewer. Похожие признаки есть и у Самоката.
Отдельная тема — это банковские приложения, именно они в отчёте названы самой агрессивной группой. Т-Банк, Сбербанк и ВТБ входят в число лидеров по совокупности методов слежки. Они не только отправляют VPN-статус на специальный сервер, к которым, как вы понимаете, имеет доступ ФСБ, но и используют расширенный фингерпринт устройства, определяют руты и инструменты анализа. Особенно выделяется Т-Банк: по данным исследования, он запрашивает 47 разрешений, из которых 24 предоставляются автоматически при установке без отдельного согласия пользователя.
Серьёзная проблема в том, что многие опасные возможности активируются ещё до того, как человек вообще нажал на кнопку «разрешить». Все 30 исследованных приложений могут запускаться при включении телефона и работать в фоне. Часть приложений может работать с фоновыми сервисами, синхронизацией, микрофоном, геолокацией и даже установкой APK файлов. Всё это создаёт постоянную фоновую инфраструктуру наблюдения. То есть проблема здесь не только в VPN. VPN — это просто один из маркеров. На самом деле приложение собирает гораздо больше: список программ, сведения о геолокации, контактах, звонках, касаниях экрана, сетевом окружении, состоянии устройства и прочую конфиденциальную информацию. Если всё это объединить, получается не просто какая-то обезличенная статистика использования приложения, а довольно подробный профиль каждого конкретного человека.
Для пользователей из России вывод неприятный, но вполне ясный. Если на Android установлены российские приложения, то нужно исходить из того, что они могут активно собирать технические данные о телефоне и вашей цифровой среде. Самая разумная рекомендация из отчёта — это разделять пространство. Идеальный вариант — это два телефона: один только для российских приложений, второй для всего остального. Если телефон один, то хотя бы использовать Android Work Profile через Shelter, чтобы приложения из разных профилей не видели друг друга, не видели контакты и файлы. Но сам Work Profile не скрывает наличие VPN, он только изолирует данные. Также советуют максимально отзывать лишние разрешения: геолокацию оставлять только навигации и только во время использования, контакты убирать почти у всех, микрофон и камеру только по запросу, доступ к журналу звонков и SMS отзывать полностью.
В сухом остатке ситуация выглядит так: российские приложения всё чаще ведут себя не как обычный сервис, а как инструменты технического контроля, то есть как шпионское ПО. Формально они остаются банками, браузерами, доставками и маркетплейсами, но фактически получают всё больше функций наблюдения за устройством пользователя.
Есть в этой истории один относительно обнадёживающий момент: с Айфоном такая слежка либо не работает, либо работает заметно слабее, чем на Android. На iOS большая часть описанных в исследовании методов просто недоступна из-за ограничения самой системы. Приложения там изолированы друг от друга и не имеют такого доступа к чужим данным и к системе, как на Android. Поэтому в основном остаются для доступа только те данные, к которым пользователь сам дал доступ. iPhone в такой ситуации действительно безопасней Android, но полной защиты он всё равно не даёт. Если ты сам раздал российским приложениям разрешения, они будут собирать всё, что им доступно в рамках этих разрешений.
*Автор не связан с организацией RKS Global и только комментирует их отчет
Канал в телеграм