Як російські додатки стежать за користувачами VPN

Як російські додатки стежать за користувачами VPN

Нове розслідування викрило скоординовані зусилля російського уряду з перетворення популярних споживчих додатків на інструменти стеження за людьми, які використовують VPN для обходу державної цензури. Висновки, опубліковані правозахисною організацією RKS Global, ставлять серйозні запитання не лише щодо конфіденційності в Росії, а й щодо того, наскільки можна довіряти додаткам, встановленим на вашому пристрої.

З 30 проаналізованих популярних російських додатків 22 виявилися такими, що активно виявляють використання VPN і зберігають ці дані на серверах, доступних російським спецслужбам. Серед додатків — банківські платформи та великі вебсервіси, якими щодня користуються мільйони росіян. Для цих користувачів просте відкриття банківського додатка під час підключення до VPN може створити запис, який потрапить до рук державних органів.

Як додатки виявляють використання VPN

Визначити, чи підключений користувач до VPN, технічно нескладно. Додатки можуть перевіряти кілька сигналів: чи відповідає активний мережевий інтерфейс пристрою відомим VPN-протоколам, чи веде IP-адреса до центру обробки даних, а не до житлового або мобільного провайдера, чи присутні певні системні індикатори, пов'язані з програмним забезпеченням для тунелювання.

Особливу значущість висновкам RKS Global надає не сам факт можливості виявлення, а те, що ці додатки нібито реєструють і зберігають цю інформацію у спосіб, що робить її доступною для сторонніх осіб. Це перетворює звичайну технічну перевірку — таку, яку багато додатків виконують для запобігання шахрайству або оптимізації мережі, — на інструмент політичного стеження.

Збережені дані можуть використовуватися для складання профілів користувачів, які регулярно обходять інтернет-обмеження Росії, відомі всередині країни як засоби контролю RuNet. Влада дедалі частіше кваліфікує використання VPN як кримінальний або підривний акт, а задокументована VPN-активність створює документальний слід, який може слугувати підставою для кримінального переслідування.

Ширші наслідки для користувачів VPN

Для людей за межами Росії безпосередня загроза може здаватися далекою. Проте розслідування висвітлює ризик для конфіденційності, який не є унікальним для жодної окремої країни: додатки, яким ви довіряєте повсякденні завдання — перевірку балансу, читання новин, онлайн-шопінг, — можуть збирати дані про вашу мережеву активність у спосіб, на який ви ніколи не давали згоди і про який можете навіть не здогадуватися.

У випадку Росії ці дані нібито передаються державним спецслужбам. В інших контекстах аналогічні дані можуть продаватися рекламодавцям, передаватися правоохоронним органам за законним примусом або розкриватися внаслідок витоку. Механізм той самий; відрізняються лише одержувач і намір.

Це також нагадування про те, що VPN захищає ваш трафік від перехоплення під час передавання, але не заважає додатку, запущеному на вашому пристрої, спостерігати за мережевим середовищем і повідомляти про те, що він виявив. Стеження на рівні додатків діє нижче того рівня, який захищає VPN.

Що це означає для вас

Якщо ви є громадянином Росії та покладаєтеся на VPN для доступу до заблокованого контенту, ризик тут є прямим і серйозним. Використання VPN під час роботи з додатками великих російських банків або платформ може створювати записи, що ідентифікують вас як особу, яка обходить засоби цензури. Найбезпечніший підхід — ставитися до цих додатків як до потенційно ворожих щодо вашої конфіденційності та обмежувати їх використання під час підключення до VPN, або використовувати окремий пристрій без таких додатків для чутливого перегляду вебсторінок.

Для користувачів в інших країнах урок стосується дозволів для додатків і довіри. Більшість користувачів смартфонів надають додаткам широкий доступ, не перевіряючи, які дані ці додатки збирають і куди вони передаються. Інформація про стан мережі, зокрема те, чи активний VPN, часто доступна додаткам без будь-яких спеціальних дозволів — як на Android, так і на iOS. Ви не завжди можете завадити додатку перевіряти ваше мережеве середовище, але можете свідомо підходити до вибору додатків, які встановлюєте, і сервісів, якими користуєтесь.

Варто витратити час на перегляд політик конфіденційності додатків, особливо розділів про передачу даних третім сторонам і запити від державних органів. Якщо у додатка немає чіткої політики або якщо його політика залишає за собою право широко ділитися даними з афілійованими особами чи органами влади — це сигнал, до якого слід поставитися серйозно.

Залишайтеся поінформованими та дійте

Розслідування RKS Global є конкретним прикладом того, як цифрові права та особиста конфіденційність пов'язані між собою. Коли уряди залучають приватні компанії до програм стеження, додатки, якими люди користуються для управління фінансами та повсякденним життям, стають потенційними векторами державного моніторингу.

Практичні висновки прості. Будьте вибірливими щодо того, які додатки ви встановлюєте та оновлюєте, особливо ті, що належать компаніям, які можуть зазнавати тиску з боку влади. Розумійте, що VPN — це один рівень захисту конфіденційності, а не повний щит. І звертайте увагу на те, де зберігаються дані ваших додатків і хто може отримати до них доступ, адже це питання важливе незалежно від того, в якій країні ви живете.

Оскільки такий вид державного стеження через додатки стає дедалі краще задокументованим, варто стежити за роботою організацій із захисту цифрових прав, які досліджують і викривають такі практики. Поінформовані користувачі краще підготовлені до того, щоб захистити себе.