Большая часть российских сервисов — а не только мессенджер Max, как считалось ранее — отслеживают наличие VPN на телефонах пользователей. К такому выводу пришли эксперты RKS Global, изучив 30 популярных приложений для Android. Среди них банковские и платежные сервисы, маркетплейсы, службы доставки, заказа такси и навигации, соцсети и видеохостинги. Многие из этих приложений похожи на полноценное шпионское ПО: они собирают данные о других установленных программах, фиксируют каждое касание экрана и пытаются скрыть свои действия. «Медуза» пересказывает главное из нового исследования и дает несколько советов, как обезопасить себя от слежки. В рамках нового исследования эксперты RKS Global выбрали 30 популярных российских приложений для Android из цифровых магазинов Google Play и RuStore. В их число, среди прочего, попали сервисы «Яндекса», VK и «Сбера», маркетплейсы Ozon и Wildberries, а также приложения МТС и «Мегафон». Руководители почти всех этих компаний принимали участие в недавнем совещании с главой Минцифры Максутом Шадаевым, о котором сообщали источники РБК. На нем глава ведомства заявил, что бизнес должен ограничить доступ на свои платформы людей, которые используют VPN. Если компании этого не сделают, их могут лишить IT-льгот (например, избавить сотрудников от брони от мобилизации). А также исключить из «белого списка» — реестра интернет-ресурсов, доступ к которым остается во время мобильных шатдаунов в России.  О том, как выявлять людей с установленными VPN, объясняется в методичке Минцифры, текст которой опубликовал телеграм-канал «Профсоюз работников IT». По словам собеседников РБК, новые требования должны начать действовать с 15 апреля, хотя один из источников отметил, что это лишь ориентировочная дата. Впрочем, исследование RKS Global показывает, что большинство компаний уже готовы к слежке за пользователями. Что еще говорится в методичке МинцифрыВидели новости, что Минцифры призналось, будто ему трудно выявлять VPN на айфонах? На самом деле техника Apple едва ли защищена лучше, чем андроиды Мы поняли это, когда сами изучили методичку Минцифры по блокировке VPN 22 российских приложения из 30 ищут на телефоне VPN. А «Яндекс Браузер» еще и хочет знать, установлен ли на устройстве Tor Для оценки приложений эксперты использовали метод статического анализа. Поиск производили по 68 контрольным точкам в 12 категориях — не только отслеживание VPN и прокси. Например, RKS Global проверяли, анализирует ли программа другие установленные на телефоне приложения, считывает ли идентификационные данные устройства, отслеживает ли паттерны поведения пользователя и пытается ли скрыть данные обо всех этих действиях. Полную информацию обо всех приложениях можно найти в сводной таблице. После анализа исследователи составили рейтинг сервисов по количеству проверок, которые он проводит. Максимальная оценка, которую могло получить приложение — 68 баллов (по количеству контрольных точек).  Лидерами этого рейтинга стали приложения Т-банка и маркетплейса «Мегамаркет», принадлежащего «Сберу». Оба набрали 65 баллов — грубо говоря, именно эти приложения активнее всего следят за пользователями. Следом идут социальные сети «ВКонтакте» и «Одноклассники», а также приложение «Сбербанк Онлайн» (у всех по 64 балла). Все эти сервисы, помимо прочего, так или иначе пытаются найти VPN на телефоне. Лишь восемь приложений из 30 на момент анализа не отслеживали, установлены ли на устройстве пользователя средства обхода блокировок. Остальные для этих целей использовали как минимум один, а то и несколько методов определения. В лидерах — «Яндекс Браузер» и «Яндекс Карты», которые задействуют сразу четыре инструмента для поиска VPN. Причем первый оказался единственным приложением, которое, помимо прочего, ищет еще и браузер Tor. Мессенджер Max (как и еще 16 других приложений) фактически прямо спрашивает у операционной системы, проходит ли трафик через VPN. Впрочем, это не новость. Впервые о наличии в приложении шпионского модуля стало известно месяц назад. Интересно другое — мессенджер использует обфускацию, чтобы скрыть функцию обнаружения VPN от исследователей. Как Max следит за VPNМессенджер Max уличили в слежке за вашим VPN. Можно ли от нее спрятаться? Несколько полезных советов, как обмануть этого шпиона в вашем телефоне Российские приложения хотят знать о пользователях все. Но очень стараются скрыть это Некоторые сервисы собирают далеко не самую очевидную информацию о пользователях. Например, 11 приложений (среди них все тот же Т-банк, Альфа-Банк, «Сбербанк Онлайн», а еще 2ГИС и даже Rutube) собирают поведенческую биометрию. То есть анализируют каждое касание экрана смартфона , учитывая куда именно вы обычно нажимаете, вашу силу нажатия и время. По словам исследователей, это позволяет идентифицировать пользователя по манере использования устройства. «Авито» сканирует смартфон на наличие более чем 200 других программ. Среди них есть как прямые конкуренты (например, сервис объявлений по продаже автомобилей «Дром Авто»), так и просто приложения банков, маркетплейсов и соцсетей. Зачем «Авито» эта информация — непонятно. Ozon и «Самокат» проверяют, есть ли на телефоне программы для удаленного управления устройством. Последний, ко всему прочему, проверяет наличие установленных VPN-приложений, даже если ни одно из них не используется. Так же поступает «Мегамаркет». Наконец, четыре приложения (вновь Т-банк, «Яндекс Браузер», «Яндекс Карты» и «Яндекс Музыка») ищут на телефоне признаки использования Frida — инструмента для реверс-инжиниринга, то есть анализа программ. Исследователи делают вывод, что разработчики не хотят раскрывать все возможности своих приложений и препятствуют тому, чтобы пользователи узнали о встроенных инструментах слежки. «„Яндекс Карты“ — навигатор — защищается так, будто это военное ПО», — подчеркивают в RKS Global. Какие еще приложения опасно использоватьМессенджер Telega с самого начала подозревали в связях с VK — но он оказался даже опаснее, чем думали эксперты Да, Telega перехватывает вашу переписку. Удалите это приложение прямо сейчас От тотальной слежки можно спастись. Но скрыть наличие VPN все равно очень сложно Есть разные способы обезопасить себя от тотальной слежки или хотя бы минимизировать риски. Самый простой из них — завести второй телефон исключительно для российских приложений. На первом устройстве можно продолжать пользоваться привычными сервисами, для которых нужен VPN. Рекомендация актуальна и для пользователей за пределами России, которым необходимо по той или иной причине использовать российские сервисы. Как минимум это позволит избежать попадания лишних данных о пользователе на российские серверы. Если телефон один, может помочь Shelter — бесплатное приложение, которое позволяет создавать на телефоне с Android изолированное пространство. Так российские программы не смогут видеть, какими еще сервисами пользуется человек. К сожалению, избавиться от слежки непосредственно за средствами обхода блокировок гораздо сложнее. Здесь Shelter не поможет — он не скрывает признаки использования VPN на уровне операционной системы. Для этих целей лучше подойдет технология туннелирования трафика, доступная в некоторых VPN-клиентах. То есть российские приложения будут работать в обход VPN, а все остальные — с ним. Впрочем, отмечают эксперты, это тоже не гарантирует безопасность. Те приложения, которые сканируют виртуальный сетевой интерфейс tun0 (он создается при подключении к VPN), все равно увидят средства обхода блокировок. Избежать этой угрозы полностью можно, если установить VPN-туннель на домашнем роутере. В этом случае телефон будет просто подключаться к Wi-Fi, и российские приложения не увидят VPN непосредственно в телефоне. К сожалению, это решение тоже не оптимально и не подойдет, если человеку нужно использовать мобильный интернет. Стоит подчеркнуть, что исследование RKS Global касается только Android. Как те же самые приложения ведут себя на iOS и какую информацию они собирают — неизвестно. Кроме того, до сих пор непонятно, как именно будут работать фильтры российских компаний, как строго они будут следить за использованием средств обхода блокировок и главное — как именно будут отличать обычный зарубежный трафик от VPN. Некоторые операторы связи в принципе не уверены, что это возможно. «Медузу» можно читать даже во время блокировок. Наш сайт откроется без VPN и танцев с бубнами по этой волшебной ссылке (сохраните ее!) или с помощью плагина для браузера (как его установить). Но самый надежный способ — читать «Медузу» в приложении: скачайте его и будем на связи, что бы ни случилось.  Но VPN все равно пригодитсяТелеграм не работает? Вам нужен VPN Мы сделали самую простую и понятную инструкцию о том, как работает эта технология. Отправьте ее всем, у кого нет VPN «Медуза»