Перейти к содержанию

Обнаружены домены из списка, опубликованного Роскомнадзором

Описание

При статическом анализе декомпилированных исходников найдены URL-строки, чьи хосты входят в официальные реестры запрещённых сайтов Роскомнадзора (РКН) Такие ресурсы блокируются операторами связи на территории РФ, а разработчик, распространяющий приложение с этими ссылками, потенциально нарушает законодательство (ФЗ-149, ФЗ-398 и др.).

Потенциальные последствия

  • Нефункциональность приложения в РФ. Запросы к заблокированным хостам «обрываются» провайдерами или перенаправляются на заглушку, вызывая ошибки сетевого слоя.
  • Исключение из стора и штрафы. Политики Google Play требуют соблюдения местных законов; наличие ссылок на нелегальный контент может привести к отклонению релиза или удалению приложения.
  • Юридические риски для компании. За распространение ссылок на запрещённые материалы предусмотрены административные штрафы (ч. 1 ст. 13.41 КоАП РФ).

Типовые сценарии обнаружения

  1. Жёстко прописанные строки-URL в *.java, *.kt, strings.xml.
  2. Конфигурационные файлы (.json, .yaml) с fallback-серверами.
  3. Сторонний SDK.
  4. WebView, открывающий стартовую страницу, позднее заблокированную РКН.

Рекомендации

  1. Проводим первичную проверку совпадений.

    • Установите, какая библиотека/модуль формирует ссылку.
    • Проверьте актуальный статус домена через https://blocklist.rkn.gov.ru или локальный дамп реестров.

  2. Удаляем или заменяем запрещённые домены.

    • Исключите тестовые заглушки и устаревшие CDN.
    • Если ресурс нужен, перенесите его на легальный поддомен/подпуть, не входящий в реестр.

  3. Обновляем сторонние зависимости.

    • Проверьте рекламные/аналитические SDK — устаревшие версии иногда содержат заблокированные ссылки.
    • Откажитесь от библиотек, распространяемых вне официальных репозиториев.

  4. Внедряем allow-list для сетевого слоя.

    <!-- res/xml/network_security_config.xml -->
<network-security-config>
   <domain-config cleartextTrafficPermitted="false">
      <domain includeSubdomains="true">api.yourcompany.com</domain>
      <!-- …другие доверенные хосты… -->
   </domain-config>
</network-security-config>

    Подключите файл в AndroidManifest.xml через атрибут android:networkSecurityConfig.

Ссылки

  1. Единый реестр запрещённой информации (Роскомнадзор)
  2. Универсальный сервис проверки блокировок — blocklist.rkn.gov.ru
  3. Google Play Developer Program Policy — «compliant with local laws»
К началу