А какие направления?

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid - приложение, которое на Android-устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root-прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был “чистый”, без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP-адреса, причём часть из них - зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы:

api.ipify.org

checkip.amazonaws.com

ifconfig.me

Само по себе обращение к сервисам определения IP не преступление - например, это может быть необходимо для корректной настройки P2P-звонков через WebRTC.

Но участников форума насторожили два момента.
Во-первых, слишком много проверок IP и слишком много разных источников. Если цель просто “узнать внешний IP”, обычно хватает одного сервиса. Когда их несколько, это уже похоже на попытку перепроверить результат и собрать «картину» с разных точек.
Во-вторых, в списке исходящих соединений также видны обращения клиента MAX к доменам, связанным с Telegram и WhatsApp:

main.telegram.org

mmg.whatsapp.net

И это уже выглядит как проверка проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга, грузится ли контент по определенному URL с этого домена или нет  - учитывая, что зачастую блокировка к “запрещенным” доменам у РКН срабатывает не сразу, а только после получения ~16кб данных с “запрещенного сервера”, либо вместо блокировки происходит “замедление”.

Сервис api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com - в облаке Amazon AWS. И Cloudflare, и Amazon также нередко попадают под “16кб” и “триггерные” блокировки Роскомнадзора (см. здесь и здесь), и это тоже может быть довольно характерной проверкой.

С учетом описанного выше, обращение к нескольких сервисам определения внешнего IP в разных локациях также может быть проверкой, выходит ли пользователь в интернет "напрямую" или через VPN/прокси (по расхождениям между IP‑проверками, по маршрутизации, по доступности отдельных ресурсов).

Например, если у пользователя в VPN/прокси-клиенте настроена раздельная маршрутизация, при которой трафик до иностранных ресурсов идет через прокси/VPN, а до российских адресов - напрямую, то подобные проверки при одновременном использовании российских и иностранных сервисов покажут разные IP-адреса в разных AS, что позволит достаточно достоверно детектировать факт наличия прокси/VPN и даже узнать выходной IP-адрес прокси/VPN-сервера (который при простой настройке почти всегда совпадает с входным) и впоследствии заблокировать доступ к нему.

Ну и не забываем, что с прошлого года статьей 13.52 КоАП РФ (нарушение порядка использования на территории РФ программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен) вводятся штрафы для владельцев VPN/прокси за несоблюдения запрета предоставлять доступ к информационным ресурсам, доступ к которым ограничен на территории РФ, а также за неисполнение установленного порядка взаимодействия с Роскомнадзором.

Меры предосторожности:

Не пользоваться MAX;

При необходимости пользоваться им, ставить его на отдельное “чистое” и изолированное устройство;

При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям;

Использовать не один прокси-сервер, а цепочку из двух; альтернативно - использовать на прокси-сервере 2 IP-адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP.