Почему VPN на iPhone сложнее всего отследить

Минцифры разослало крупнейшим российским интернет-компаниям методические рекомендации по выявлению VPN у пользователей. Среди адресатов — Сбер, Яндекс, VK, Wildberries, Ozon, Avito, X5 и другие. Суть задания простая: к 15 апреля компании должны ограничить доступ к своим сервисам тем, кто заходит через запрещенные VPN. Заодно им выдали инструкцию, как эти VPN самостоятельно выявлять.

Инструкция предполагает три шага. Первый — сверить IP-адрес устройства с базой российских адресов и списком заблокированных Роскомнадзором. Второй — проверить прямо на устройстве через собственное приложение, не запущен ли там VPN. Третий — сделать то же самое на Windows, macOS и других системах.

Проблема возникла на втором шаге, и именно с iPhone.

Что мешает

В документе Минцифры прямо указано: выявление VPN на iPhone «существенно ограничено». Всё дело в архитектуре iOS. Apple строго изолирует приложения друг от друга — каждое живет в своей песочнице и не может заглянуть в то, что происходит в соседнем. Никаких shared-данных, никакого доступа к системным настройкам сети без явного разрешения. Даже если у какого-нибудь Яндекса или VK есть приложение на вашем телефоне, оно физически не может спросить у iOS: «А не включен ли тут VPN?»

На Android всё иначе. Там есть системные классы ConnectivityManager и NetworkCapabilities, через которые любое приложение может запросить параметры текущего сетевого соединения и узнать, идет трафик через VPN или нет. На iPhone такого инструмента просто не существует — Apple его не предусмотрела.

Другие слепые пятна

Минцифры честно признало, что iPhone — не единственная проблема. Выявить VPN затруднительно или вообще невозможно в нескольких других случаях:

• VPN настроен на роутере, а не на устройстве — на самом гаджете никаких следов не остается
• VPN работает внутри виртуальной машины или контейнера
• Используется прокси с IP обычного домашнего провайдера — такой адрес не попадет ни в какие базы
• Включен split tunneling, когда через VPN идет только часть трафика — проверка одной активной сети ничего не покажет
• Новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP

Что это значит для владельцев iPhone

Если коротко: пока iOS остается iOS, никакое российское приложение не сможет определить, включен у вас VPN или нет. Это не дыра в системе, это сознательное архитектурное решение Apple, которое заодно защищает и приватность пользователей в целом.

Конечно, первый метод проверки — по IP-адресу — работает на любом устройстве. Если ваш IP числится в базе Роскомнадзора или явно принадлежит известному VPN-провайдеру, это заметят. Но если VPN использует менее известные серверы или адреса домашних провайдеров, даже этот способ работает ненадежно.

Сама инициатива Минцифры уже вызвала скептицизм в бизнес-среде. Представители компаний считают, что полностью перекрыть VPN таким способом не получится, а часть легитимного трафика при этом пострадает. Корпоративные VPN, кстати, планируется внести в белый список — компании, которые используют VPN для рабочих нужд, ограничений не получат.

Пока что iPhone остается устройством, которое государственным методикам поддается хуже всего. И это не баг — это фича.