Проект RKS Global провёл статический анализ 30 самых популярных российских Android‑приложений из RuStore и Google Play: банки, экосистемы Яндекса и VK, крупные маркетплейсы. 22 приложения детектируют факт использования VPN, из них 19 передают VPN‑статус на свои серверы; 29 из 30 проверяют наличие root‑доступа. Яндекс Браузер дополнительно ищет Tor, а приложения «Самокат» и MegaMarket получают список установленных VPN‑клиентов. Не детектируют VPN, по данным исследования, 8 приложений, включая «Госуслуги», «Яндекс Маркет», «Яндекс Еда», «Яндекс Go», «Дзен», «Почта Mail.ru», «МегаФон» и Mir Pay.
«VPN — моя зона контроля, приложения этого не видят». Исследование RKS Global фиксирует обратное: приложения системно опрашивают сетевые настройки, интерфейсы, DNS, внешние IP и отправляют статус VPN/прокси на сервер для последующего анализа. Часть приложений собирает не только факт подключения, но и список VPN‑клиентов на устройстве, что даёт им более глубокий профиль поведения пользователя.
RKNHardering и YourVPNDead показали, что Android предоставляет достаточно низкоуровневых признаков для детекции обходных средств без привилегий: типы интерфейсов (tun0, wg0), MTU, таблицы маршрутов, нестандартные DNS и флаги NetworkCapabilities. Эти же подходы могут использовать и коммерческие приложения: проверять VPN, прокси и Tor‑подключения, сравнивать IP с базами дата‑центров, анализировать split‑tunneling. Полностью скрыть факт туннелирования на Android невозможно: провайдер видит зашифрованный канал, а приложения — сетевые артефакты на уровне ОС.
Практический вывод
Для юристов и комплаенса это означает, что любые действия с чувствительными сервисами (банки, маркетплейсы, корпоративные кабинеты) под VPN формируют дополнительный слой данных о поведении пользователя. При работе с налоговыми, финансовыми и комплаенс‑рисками стоит исходить из презумпции: факт использования VPN, список клиентов и даже Tor‑наличие потенциально доступны стороне сервиса. Минимум — сегментировать устройства и профили: отдельный «чистый» контур без VPN для операций, где нежелательно дополнительное поведение‑трекание.
🔧 Инструменты и источники
- Исследование RKS Global «Выявление слежки в 30 популярных российских приложениях» (PDF) — https://files.rks.global/russian_apps_search_for_vpn_ru.pdf 📄
- Обзор результатов и список приложений, детектирующих VPN — https://securitylab.ru/news/571457.php, https://rks.global/ru/research/vpn-detection/
- RKNHardering (Android‑утилита, воспроизводящая логику РКН по выявлению VPN/прокси) — https://github.com/xtclovver/RKNHardering 🛠
- YourVPNDead (Android‑сканер VPN‑следов) — https://github.com/loop-uh/yourvpndead
- VPN‑Detector (исследовательский инструмент для анализа механизмов детекции VPN) — https://github.com/cherepavel/VPN-Detector
Как ты сейчас разделяешь рабочие и «VPN‑зонные» устройства/профили для чувствительных действий (банки, личные кабинеты, сервисы ФНС)?👇
