Спрятаться за ширму - «Компьютеры и интернет» » Инсайдер новостей.
Все новости мира
на одном сайте

Спрятаться за ширму - «Компьютеры и интернет»

Спрятаться за ширму - «Компьютеры и интернет»
Новости России / Здравоохранение / Последние новости / Теннис / Происшествия / Экономика / Путешествия / Закон и право / Политика / СТАТЬИ
18:00, 08 август 2025
38
0
0
0

В 2022 году российский рынок мобильной разработки оказался в непростом положении: под санкции попали банки, цифровые сервисы и социальные сети, а их приложения начали массово исчезать из App Store и Google Play. Только за тот год Top10VPN оценивал потери в экономике России из-за этого в $21,5 млрд. Но если Android-разработчики быстро переориентировались на новые способы дистрибуции, то с экосистемой Apple все оказалось сложнее. Российские компании ищут обходные пути, чтобы сохранить присутствие в App Store. Как рынок мобильных приложений реагирует на санкции, почему «ширмы» стали новой нормой и что ждет отрасль, рассказывает основатель Agima Александр Богданов

Этапы массовых блокировок

По подсчетам Sensor Tower, за первые три недели после 24 февраля 2022 года из российского раздела App Store исчезло почти 7000 приложений. Похожая ситуация сложилась и в Google Play: уже к 10 марта в России приостановили все платные сервисы, включая подписки и внутриигровые платежи. Сильнее всего пострадал банковский сектор: за первый год санкций из обоих сторов удалили более десятка приложений системно значимых банков, а каждое новое «возвращение» держалось в среднем один-два дня. Также проблемы возникли у крупных медиасервисов и маркетплейсов.

Например, с 2022 по 2023 год из App Store и Google Play удалили «Сбербанк Онлайн», приложения ВТБ, Альфа-банка, ПСБ, «Открытие» и Т-Банка. Также Apple удалила весь пакет VK и маркетплейс Avito. В декабре 2024 года Google уведомила разработчиков, что приостанавливает селлер-сервисы для аккаунтов с российскими реквизитами, фактически закрывая монетизацию в Google Play, а в феврале 2025 года Apple закрыла российским компаниям доступ к Apple Developer Enterprise Program (ADEP) — последнему официальному каналу внутреннего распространения iOS-приложений.

Перипетии возвращения

Если Google ограничился заморозкой платежей, то Apple сочетает ручное ревью, бан аккаунтов разработчиков и отзыв сертификатов. Поэтому именно App Store остается главным «бутылочным горлышком», формируя спрос на все более изобретательные «ширмы». В этих условиях бизнесу пришлось искать обходные пути.

Регистрация новых аккаунтов. Первое, что делают разработчики, — оформляют «чистый» аккаунт Apple Developer на юридическое или физическое лицо за рубежом. Наиболее популярны Сербия, Казахстан и Армения. «Яндекс», к примеру, перерегистрировал часть мобильных сервисов на сербские компании, чтобы оставаться в App Store и Google Play. Аккаунты стараются держать «пустыми»: минимум приложений, минимум скачиваний и никакой привязки к санкционным брендам — это снижает риск мгновенной блокировки.

Схемы «аккаунт-шеринга». Часть банков идет другим путем: размещает приложение в сторе на аккаунте зарубежного юрлица и раздает клиентам временные Apple ID. Пользователь выходит из своей учетки, логинится под выданной и скачивает нужное приложение. После возврата к основному Apple ID приложение остается на устройстве. Так поступает, например, Т-Банк.

Маскировка интерфейса и функций. Далее создается «ширма» приложения. На ревью Apple оно выглядит как сервис, не имеющий отношения к деятельности санкционных компаний. Разработчики собирают отдельный бинарный файл, скрывают в нем настоящий код и добавляют переключатель Feature Flag. После одобрения ревьюером компания удаленно меняет конфигурацию, и на устройстве пользователя открывается полноценное приложение с платежами и переводами.
Например, Россельхозбанк выпустил приложение «Учет надоя». В описании в App Store говорилось, что оно «позволяет фермерам и работникам молочных хозяйств отслеживать ежедневные показатели и анализировать продуктивность коров». При первом запуске программа просит логин и пароль — после авторизации знакомый банковский интерфейс полностью заменяет «ферму».

Аналогично «Сбер» периодически выкладывает новые приложения под аккаунтами частных лиц. У банков «ширма» живет в App Store в среднем не более двух суток. Каждое новое
появление требует «чистого» аккаунта разработчика и недели работы команды. Если ревьюер находит несоответствие, Apple отзывает сертификат и банит аккаунт, обнуляя вложения.

Обфускация кода. Это преднамеренное «запутывание» исходного кода, чтобы ревьюер и автоматические системы анализа не увидели соответствия кода ширмы с проектом, который пытаются скрыть. Так бинарные файлы выглядят «невинными». В релизе строки расшифровываются уже на устройстве клиента, а функциональность при этом не меняется.

Удаленные конфигурации и серверные тумблеры. «Ширма» почти всегда «спит» до публикации. После одобрения сборки бэкенд включает основной функционал. Такая сборка способна продержаться в App Store от двух месяцев до полугода, если не всплывают локализованные названия и компания будет набирать трафик постепенно, аккуратно обращаясь к клиентам.

Юридическая инфраструктура. За каждым «чистым» аккаунтом стоит офшорное ООО или юрлицо: регистрируется домен, выпускается банковская карта, оплачивается годовая подписка Apple Developer и поддерживаются налоговые отчеты. По оценкам участников рынка, комплект из двух европейских юрлиц и соответствующих аккаунтов обходится примерно в 1 млн рублей.

Сразу после ревью разработчики готовятся к созданию нового офшорного аккаунта (а иногда делают это параллельно с тем, что отдан на ревью), чтобы быстро вернуть приложение после очередной блокировки. При этом более половины владельцев iPhone остаются на старых версиях, чтобы не проходить повторную установку.

Что означает для рынка закрытие ADEP

Apple Developer Enterprise Program дает компаниям право подписывать и распределять собственные iOS-приложения напрямую сотрудникам, минуя App Store, — сертификат действует три года, потом его нужно продлевать. Российские корпорации активно использовали этот канал: «Сбербанк Онлайн» и приложения страхового блока распространялись через корпоративный сертификат, который можно было установить с сайта или в отделении банка.

Но 25 февраля 2025 года Apple отключила российские аккаунты ADEP и аннулировала все действующие enterprise-сертификаты. Эксперты отрасли связывают решение с исполнением санкционного законодательства США и Великобритании. В Apple признают, что enterprise-сертификаты регулярно используют для распространения непроверенных приложений — от порно-сервисов до гэмблинга. Подобные злоупотребления стали причиной громкой чистки 2019 года, когда были заблокированы даже внутренние программы Facebook и Google.

Эффект российский бизнес почувствовал сразу. Все новые установки корпоративных .ipa (файлов приложения для внутреннего распространения внутри организации) на iPhone и iPad прекратились. Уже установленные приложения формально остаются рабочими, но лишь до той поры, пока устройство не обновит список сертификатов. После этого запустить старый клиент нельзя и подписать новую версию тоже невозможно.

Компании переходят на каталог Apple для бета-версий приложений TestFlight или прямую установку через сторонний контент-менеджер для устройств Apple iMazing, что крайне неудобно. PWA-версии (Progressive Web App — технология, которая визуально и функционально преобразует сайт в приложение), вроде веб-версии «Сбера», не нуждаются в сертификатах, однако пользовательский опыт заметно уступает приложениям: нет полноценного офлайн‑доступа за пределами небольшого кеша, проблемы с push‑уведомлениями, ограничена интеграция с системными функциями (Face ID, Apple Pay, фоновые задачи), а доступ к аппаратным API (Bluetooth, NFC, датчики) и общая плавность интерфейса существенно урезаны.

Полноценной замены ADEP пока нет. В краткосрочной перспективе бизнес будет балансировать между TestFlight, MDM и веб‑решениями, мирясь с ограничениями и ростом затрат. В долгосрочной — придется перестраивать мобильную стратегию: усиливать аудит безопасности и закладывать риски внезапного отзыва любых корпоративных сертификатов.

Текущие вызовы и перспективы RuStore

По данным Mediascope, к декабрю 2024 года месячная аудитория RuStore достигла 50 млн человек, утроившись за год. В марте 2025-го платформа преодолела рубеж в 100 млн суммарных установок. Во-первых, этому поспособствовало то, что китайские издатели игр «заработали» аудиторию раньше всех: только на рекламу в RuStore через VK Ads они потратили свыше 60 млн рублей за январь — ноябрь 2024 года. Во-вторых, 24 июня 2025 года Госдума окончательно утвердила закон, обязывающий с 1 сентября предустанавливать RuStore на каждый смартфон и планшет, продаваемый в России.

За три года санкций российские компании научились жить с остановками платежей, блокировками учетных записей и внезапным отзывом сертификатов. В ближайшие пять лет, вероятно, App Store останется «бутылочным горлышком» и полем непрерывной игры в кошки-мышки с модераторами, RuStore — главным каналом для Android c растущей
господдержкой, браузерные PWA — основной альтернативой на случай очередного бана. Такое распределение рисков — единственная долговечная стратегия, потому что новые ограничения приходят быстрее, чем успевают смениться релизы в сторах.

При этом любая внешняя зависимость, будь то западный SDK (Software development kit, набор инструментов для разработки ПО) или облачный сервис, требует плана «Б» еще до того, как станет недоступной. Справятся с вызовами те, кто совмещает инженерную изобретательность с операционной дисциплиной, регулярно возвращает критически важные сервисы на собственную инфраструктуру и сохраняет для пользователя главное — возможность совершить нужное действие в одно касание, даже если путь к этому касанию меняется каждый квартал.

Мнение редакции может не совпадать с точкой зрения автора

Александр Богданов
Автор

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В 2022 году российский рынок мобильной разработки оказался в непростом положении: под санкции попали банки, цифровые сервисы и социальные сети, а их приложения начали массово исчезать из App Store и Google Play. Только за тот год Top10VPN оценивал потери в экономике России из-за этого в $21,5 млрд. Но если Android-разработчики быстро переориентировались на новые способы дистрибуции, то с экосистемой Apple все оказалось сложнее. Российские компании ищут обходные пути, чтобы сохранить присутствие в App Store. Как рынок мобильных приложений реагирует на санкции, почему «ширмы» стали новой нормой и что ждет отрасль, рассказывает основатель Agima Александр БогдановЭтапы массовых блокировок По подсчетам Sensor Tower, за первые три недели после 24 февраля 2022 года из российского раздела App Store исчезло почти 7000 приложений. Похожая ситуация сложилась и в Google Play: уже к 10 марта в России приостановили все платные сервисы, включая подписки и внутриигровые платежи. Сильнее всего пострадал банковский сектор: за первый год санкций из обоих сторов удалили более десятка приложений системно значимых банков, а каждое новое «возвращение» держалось в среднем один-два дня. Также проблемы возникли у крупных медиасервисов и маркетплейсов. Например, с 2022 по 2023 год из App Store и Google Play удалили «Сбербанк Онлайн», приложения ВТБ, Альфа-банка, ПСБ, «Открытие» и Т-Банка. Также Apple удалила весь пакет VK и маркетплейс Avito. В декабре 2024 года Google уведомила разработчиков, что приостанавливает селлер-сервисы для аккаунтов с российскими реквизитами, фактически закрывая монетизацию в Google Play, а в феврале 2025 года Apple закрыла российским компаниям доступ к Apple Developer Enterprise Program (ADEP) — последнему официальному каналу внутреннего распространения iOS-приложений. Перипетии возвращения Если Google ограничился заморозкой платежей, то Apple сочетает ручное ревью, бан аккаунтов разработчиков и отзыв сертификатов. Поэтому именно App Store остается главным «бутылочным горлышком», формируя спрос на все более изобретательные «ширмы». В этих условиях бизнесу пришлось искать обходные пути. Регистрация новых аккаунтов. Первое, что делают разработчики, — оформляют «чистый» аккаунт Apple Developer на юридическое или физическое лицо за рубежом. Наиболее популярны Сербия, Казахстан и Армения. «Яндекс», к примеру, перерегистрировал часть мобильных сервисов на сербские компании, чтобы оставаться в App Store и Google Play. Аккаунты стараются держать «пустыми»: минимум приложений, минимум скачиваний и никакой привязки к санкционным брендам — это снижает риск мгновенной блокировки. Схемы «аккаунт-шеринга». Часть банков идет другим путем: размещает приложение в сторе на аккаунте зарубежного юрлица и раздает клиентам временные Apple ID. Пользователь выходит из своей учетки, логинится под выданной и скачивает нужное приложение. После возврата к основному Apple ID приложение остается на устройстве. Так поступает, например, Т-Банк. Маскировка интерфейса и функций. Далее создается «ширма» приложения. На ревью Apple оно выглядит как сервис, не имеющий отношения к деятельности санкционных компаний. Разработчики собирают отдельный бинарный файл, скрывают в нем настоящий код и добавляют переключатель Feature Flag. После одобрения ревьюером компания удаленно меняет конфигурацию, и на устройстве пользователя открывается полноценное приложение с платежами и переводами. Например, Россельхозбанк выпустил приложение «Учет надоя». В описании в App Store говорилось, что оно «позволяет фермерам и работникам молочных хозяйств отслеживать ежедневные показатели и анализировать продуктивность коров». При первом запуске программа просит логин и пароль — после авторизации знакомый банковский интерфейс полностью заменяет «ферму». Аналогично «Сбер» периодически выкладывает новые приложения под аккаунтами частных лиц. У банков «ширма» живет в App Store в среднем не более двух суток. Каждое новое появление требует «чистого» аккаунта разработчика и недели работы команды. Если ревьюер находит несоответствие, Apple отзывает сертификат и банит аккаунт, обнуляя вложения. Обфускация кода. Это преднамеренное «запутывание» исходного кода, чтобы ревьюер и автоматические системы анализа не увидели соответствия кода ширмы с проектом, который пытаются скрыть. Так бинарные файлы выглядят «невинными». В релизе строки расшифровываются уже на устройстве клиента, а функциональность при этом не меняется. Удаленные конфигурации и серверные тумблеры. «Ширма» почти всегда «спит» до публикации. После одобрения сборки бэкенд включает основной функционал. Такая сборка способна продержаться в App Store от двух месяцев до полугода, если не всплывают локализованные названия и компания будет набирать трафик постепенно, аккуратно обращаясь к клиентам. Юридическая инфраструктура. За каждым «чистым» аккаунтом стоит офшорное ООО или юрлицо: регистрируется домен, выпускается банковская карта, оплачивается годовая подписка Apple Developer и поддерживаются налоговые отчеты. По оценкам участников рынка, комплект из двух европейских юрлиц и соответствующих аккаунтов обходится примерно в 1 млн рублей. Сразу после ревью разработчики готовятся к созданию нового офшорного аккаунта (а иногда делают это параллельно с тем, что отдан на ревью), чтобы быстро вернуть приложение после очередной блокировки. При этом более половины владельцев iPhone остаются на старых версиях, чтобы не проходить повторную установку. Что означает для рынка закрытие ADEP Apple Developer Enterprise Program дает компаниям право подписывать и распределять собственные iOS-приложения напрямую сотрудникам, минуя App Store, — сертификат действует три года, потом его нужно продлевать. Российские корпорации активно использовали этот канал: «Сбербанк Онлайн» и приложения страхового блока распространялись через корпоративный сертификат, который можно было установить с сайта или в отделении банка. Но 25 февраля 2025 года Apple отключила российские аккаунты ADEP и аннулировала все действующие enterprise-сертификаты. Эксперты отрасли связывают решение с исполнением санкционного законодательства США и Великобритании. В Apple признают, что enterprise-сертификаты регулярно используют для распространения непроверенных приложений — от порно-сервисов до гэмблинга. Подобные злоупотребления стали причиной громкой чистки 2019 года, когда были заблокированы даже внутренние программы Facebook и Google. Эффект российский бизнес почувствовал сразу. Все новые установки корпоративных .ipa (файлов приложения для внутреннего распространения внутри организации) на iPhone и iPad прекратились. Уже установленные приложения формально остаются рабочими, но лишь до той поры, пока устройство не обновит список сертификатов. После этого запустить старый клиент нельзя и подписать новую версию тоже невозможно. Компании переходят на каталог Apple для бета-версий приложений TestFlight или прямую установку через сторонний контент-менеджер для устройств Apple iMazing, что крайне неудобно. PWA-версии (Progressive Web App — технология, которая визуально и функционально преобразует сайт в приложение), вроде веб-версии «Сбера», не нуждаются в сертификатах, однако пользовательский опыт заметно уступает приложениям: нет полноценного офлайн‑доступа за пределами небольшого кеша, проблемы с push‑уведомлениями, ограничена интеграция с системными функциями (Face ID, Apple Pay, фоновые задачи), а доступ к аппаратным API (Bluetooth, NFC, датчики) и общая плавность интерфейса существенно урезаны. Полноценной замены ADEP пока нет. В краткосрочной перспективе бизнес будет балансировать между TestFlight, MDM и веб‑решениями, мирясь с ограничениями и ростом затрат. В долгосрочной — придется перестраивать мобильную стратегию: усиливать аудит безопасности и закладывать риски внезапного отзыва любых корпоративных сертификатов. Текущие вызовы и перспективы RuStore По данным Mediascope, к декабрю 2024 года месячная аудитория RuStore достигла 50 млн человек, утроившись за год. В марте 2025-го платформа преодолела рубеж в 100 млн суммарных установок. Во-первых, этому поспособствовало то, что китайские издатели игр «заработали» аудиторию раньше всех: только на рекламу в RuStore через VK Ads они потратили свыше 60 млн рублей за январь — ноябрь 2024 года. Во-вторых, 24 июня 2025 года Госдума окончательно утвердила закон, обязывающий с 1 сентября предустанавливать RuStore на каждый смартфон и планшет, продаваемый в России. За три года санкций российские компании научились жить с остановками платежей, блокировками учетных записей и внезапным отзывом сертификатов. В ближайшие пять лет, вероятно, App Store останется «бутылочным горлышком» и полем непрерывной игры в кошки-мышки с модераторами, RuStore — главным каналом для Android c растущей господдержкой, браузерные PWA — основной альтернативой на случай очередного бана. Такое распределение рисков — единственная долговечная стратегия, потому что новые ограничения приходят быстрее, чем успевают смениться релизы в сторах. При этом любая внешняя зависимость, будь то западный SDK (Software development kit, набор инструментов для разработки ПО) или облачный сервис, требует плана «Б» еще до того, как станет недоступной. Справятся с вызовами те, кто совмещает инженерную изобретательность с операционной дисциплиной, регулярно возвращает критически важные сервисы на собственную инфраструктуру и сохраняет для пользователя главное — возможность совершить нужное действие в одно касание, даже если путь к этому касанию меняется каждый квартал. Мнение редакции может не совпадать с точкой зрения автора Александр Богданов Автор
Компьютеры и интернет, на Apple Store что для
Читайте также
Инструкция по отвязке Apple ID от Iphone - «Мобильные устройства»
29-10-2020, 08:50
Инструкция по отвязке Apple ID от Iphone - «Мобильные устройства»
Каким будет российский аналог App Store - «Компьютеры и интернет»
4-08-2022, 08:35
Каким будет российский аналог App Store - «Компьютеры и интернет»
«Худший год за последние 50 лет» - «Компьютеры и интернет»
19-01-2025, 08:35
«Худший год за последние 50 лет» - «Компьютеры и интернет»
Осторожно, Android закрывается - «Компьютеры и интернет»
30-03-2025, 08:35
Осторожно, Android закрывается - «Компьютеры и интернет»
В Google Play Store найдена малварь, установленная более 2 млн раз - «Новости»
22-06-2022, 16:31
В Google Play Store найдена малварь, установленная более 2 млн раз - «Новости»
Как работает аналог RuStore в ЕС - «Компьютеры и интернет»
7-07-2024, 08:35
Как работает аналог RuStore в ЕС - «Компьютеры и интернет»
Комментарии (0)
Добавить