Миф об iPhone и VPN: почему смартфон не спасёт от блокировок в России

Новость разлетелась быстро: «Инфраструктура iPhone мешает полностью банить VPN». Часть читателей восприняла это как повод купить яблоко подороже. Другие решили, что Apple тайно воюет с Роскомнадзором. На деле всё скромнее: речь идёт об одном конкретном уровне защиты — изоляции приложений внутри телефона. И это уровень настолько низкий в иерархии блокировок, что на него почти незачем смотреть.

Чтобы понять, почему радость преждевременна, нужно разобраться, как вообще устроена блокировка VPN в России. Это не «кто-то нажал кнопку». Это многоуровневая система, и телефон в ней — самое дно.

Изоляция приложений в iOS: в чём реальное отличие от Android

iOS с самого начала строилась вокруг sandbox-модели: каждое приложение работает в изолированной среде и не имеет доступа к данным других приложений без явного разрешения пользователя и системы. Это означает, что условное скам-приложение, установленное на iPhone, не может напрямую узнать, какие приложения у вас установлены, и не может получить адреса серверов, к которым подключается ваш VPN-клиент.

Android в этом смысле исторически был мягче. До Android 11 приложение, запросившее разрешение READ_INSTALLED_APPS или QUERY_ALL_PACKAGES, могло получить список всего установленного. С Android 11 Google ужесточил эти правила, и теперь приложения видят только те пакеты, которые явно указаны в манифесте. Но на практике на руках у людей ещё много устройств со старыми версиями, а сама модель разрешений всё равно не так жёсткая, как в iOS.

Итого: на iPhone скам-приложение может лишь косвенно проверить, работает ли интернет в целом, и сделать вывод «VPN включён или выключен» по доступности, например, Telegram. Это даёт вам несколько минут — адрес вашего VPN-сервера не уйдёт напрямую «куда надо» через вредоносное ПО. Но только через вредоносное ПО. Потому что есть другой путь, который вообще не зависит от телефона.

Что такое ТСПУ и DPI — главное, о чём умолчала новость

ТСПУ расшифровывается как «технические средства противодействия угрозам». Это аппаратно-программные комплексы, которые физически стоят на узлах связи у каждого провайдера и оператора мобильной связи в России. Через них проходит весь трафик всех пользователей — независимо от того, iPhone у вас, Android или ноутбук с Linux.

Сердце ТСПУ — технология DPI, Deep Packet Inspection, глубокая инспекция пакетов. Обычный маршрутизатор смотрит только на «конверт»: откуда пакет, куда идёт, по какому порту. DPI вскрывает письмо и читает содержимое — или, точнее, просвечивает его рентгеном. Система анализирует трафик вплоть до седьмого уровня модели OSI: определяет протокол, смотрит на поведенческие паттерны, читает метаданные TLS-соединения, fingerprint клиента (JA3/JA4-отпечатки) и многое другое. Даже зашифрованный трафик можно классифицировать по тому, как он себя ведёт.

Основной вендор ТСПУ в России — компания RDP.ru, дочерняя структура «Ростелекома». Их продукты — EcoFilter, EcoDPI, EcoBRAS — установлены у всех крупных операторов: МТС, «МегаФон», «Вымпелком», ТТК. К 2023 году ТСПУ охватывают 100% узлов связи в России — мобильных, широкополосных и трансграничных. Сейчас обсуждается модернизация системы примерно на 59–84 млрд рублей с целью нарастить мощность к 2030 году до 954 Тбит/с — это в тридцать с лишним раз больше среднего трафика Рунета.

Всё это значит вот что: когда ваш телефон отправляет пакет через VPN, ТСПУ видит этот пакет целиком. Телефон — просто источник трафика. iPhone или нет — для ТСПУ принципиально неважно.

Почему одни VPN блокируются за секунды, а другие живут месяцами

Дело не в телефоне и не в приложении. Дело в протоколе. Классический OpenVPN или WireGuard с дефолтными настройками имеют легко читаемые сигнатуры трафика — DPI распознаёт их так же уверенно, как человек узнаёт голубя среди воробьёв. Как только протокол распознан — он блокируется.

Протоколы, которые сегодня реально прячутся от DPI, работают иначе. Shadowsocks маскирует трафик под случайный поток байт без явной структуры. VLESS с Reality мимикрирует под легитимный TLS-трафик к реальному домену — система видит обычное HTTPS-соединение к, например, какому-нибудь новостному сайту. Outline использует модифицированный Shadowsocks с дополнительным обфускационным слоем. Именно поэтому самоподнятый сервер на нестандартном протоколе может жить месяцами, пока коммерческий VPN с узнаваемой сигнатурой блокируется за часы.

Это гонка вооружений: блокировщики учатся распознавать новые паттерны, разработчики обновляют обфускацию. Пока что баланс смещён в сторону хорошо написанных протоколов с Reality или аналогами. Но это состояние не постоянное.

Белые списки: когда ключ не поможет, если все двери замурованы

Это финальный аргумент, который полностью обесценивает дискуссию «какой телефон лучше держит VPN». При модели белых списков провайдер пропускает только заранее одобренные адреса. Всё остальное — drop. Если ваш VPN-сервер не находится в белом списке, пакет не дойдёт до него физически — не потому что его расшифровали или распознали, а потому что его просто не пустили наружу.

В этой схеме вам нужна точка выхода за пределы списка разрешённых. Если такой точки нет — нет и прыжка. Неважно, какой протокол, какое приложение и какой телефон. Это как иметь лучший в мире отмычку в комнате, где все двери залиты бетоном.

Россия пока до полного whitelist-интернета не дошла, но в периметре этой логики уже существуют отдельные сценарии — корпоративные сети, часть мобильных тарифов в некоторых регионах. Если движение в эту сторону продолжится, ни один телефон и ни один протокол проблему не решит.

Пирамида блокировки: на каком уровне реально идёт игра

Удобно представить это как вложенные уровни контроля, каждый из которых перекрывает предыдущий:

• Уровень 1 — скам-приложение на телефоне. Может слить адрес VPN-сервера через Android с устаревшими разрешениями. iOS здесь даёт реальное, но небольшое преимущество: 2–3 минуты до обнаружения вместо немедленной утечки.
• Уровень 2 — DPI/ТСПУ у провайдера. Видит ваш трафик вне зависимости от телефона. Распознаёт протокол по сигнатурам и поведению. Здесь всё решает протокол, а не устройство.
• Уровень 3 — белые списки. Если адрес вашего сервера не одобрен, пакет не проходит вообще. Протокол, телефон, приложение — всё неважно.

iPhone даёт преимущество только на первом уровне. Игра идёт на втором и третьем. Вот почему новость правдива технически и бессмысленна практически.

Итог: что реально имеет значение

Если вам важна устойчивость соединения — смотрите на протокол и на то, где поднят сервер, а не на бренд телефона. Самоподнятый VLESS+Reality на VPS в дружественной юрисдикции с нестандартным портом сегодня работает надёжнее любого коммерческого VPN на любом телефоне. Коммерческий VPN с известной сигнатурой на топовом iPhone — хуже, чем бесплатный Outline на бюджетном Android.

Телефон в этой истории — самый слабый фактор. Новость зацепила людей, потому что Apple — понятный и эмоционально заряженный объект. Но блокировки работают на уровне, где iPhone и Galaxy выглядят одинаково — просто как источники пакетов.

Эта статья носит исключительно информационный и образовательный характер. Использование VPN и иных средств обхода блокировок регулируется законодательством Российской Федерации. Пользователям следует соблюдать требования российского права, в том числе нормы Федерального закона № 149-ФЗ. Автор не призывает к нарушению законов и не несёт ответственности за действия читателей.