FreeVPN.One, o extensie Chrome cu peste 100.000 de instalări și cu un badge ce atestă verificarea Google în Chrome Web Store, a fost demascată de cercetători că face capturi de ecran ale ecranelor utilizatorilor și le transmite către servere la distanță.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
O investigație Koi Security a instrumentului VPN relevă că acesta a capturat capturi de ecran ale întregii pagini din browserele utilizatorilor, înregistrând date vizuale sensibile, cum ar fi mesaje personale, date financiare și fotografii private, și încărcându-le pe aitd[.]one, un domeniu înregistrat de dezvoltatorul extensiei, potrivit TomsHardware.
Comportamentul extensiei
Analiza criminalistică a Koi Security a arătat că mecanismul de supraveghere se declanșează automat, în câteva secunde de la încărcarea oricărei pagini web. Folosind API-ul privilegiat chrome.tabs.captureVisibleTab() al Chrome, capturile de ecran sunt realizate în mod silențios în fundal și sunt grupate cu metadate, inclusiv URL-uri de pagini, ID-uri de file și identificatori unici de utilizatori. Aceste date sunt apoi transmise către serverul controlat de atacator fără interacțiunea utilizatorului sau indicații vizibile.
Comportamentul de spionaj este alimentat de o arhitectură în două etape:
- Un script de conținut injectat în fiecare site vizitat folosind potriviri (http:///, https:///).
- Un serviciu de fundal care ascultă mesajele interne captureViewport și inițiază capturarea ecranului.
Extensia promovează, de asemenea, o funcție de „detectare a amenințărilor AI” care, atunci când este activată, efectuează o altă captură de ecran și o trimite la aitd.one/analyze.php. Cu toate acestea, adevărata problemă constă în faptul că capturile de ecran sunt realizate cu mult înainte ca utilizatorii să interacționeze cu această funcție, ceea ce face ca interfața utilizatorului să fie o momeală.
Koi Security explică în continuare că cea mai recentă versiune a extensiei, v3.1.4, a introdus criptarea AES-256-GCM cu cheie RSA pentru a ascunde datele exfiltrate, făcând mai dificilă detectarea sau analizarea acestora cu instrumente de monitorizare a rețelei.
Evoluția extensiei dintr-un instrument de protecție a confidențialității într-un instrument de spionare a utilizatorilor
Mai precis, cercetătorii au prezentat cronologia de mai jos a dezvoltării FreeVPN.One, care a transformat-o dintr-un instrument de protecție a confidențialității într-un instrument de spionare a utilizatorilor:
Aprilie 2025 (v3.0.3): Solicitări de extensie, un pas care extinde capacitățile de supraveghere, dar fără spionaj încă.
Iunie 2025 (v3.1.1): Introducerea mărcii „AI Threat Detection” (Detectarea amenințărilor AI); scripturile de conținut se extind la toate site-urile web; se adaugă permisiunea de scripting.
17 iulie 2025 (v3.1.3): Spyware-ul se activează. Încep capturile de ecran, urmărirea locației și amprentarea dispozitivelor.
25 iulie 2025 (v3.1.4): Exfiltrarea este criptată, evitând instrumentele de detectare.
Extensia în cauză, FreeVPN.One, pretinde că este „cel mai rapid VPN gratuit pentru Chrome” și se mândrește cu o insignă „Recomandat” pe care Google o acordă extensiilor care „respectă cele mai bune practici tehnice și îndeplinesc un standard ridicat de experiență și design pentru utilizatori”. Dar se pare că FreeVPN.One subminează confidențialitatea utilizatorilor săi de luni de zile.
Capturi de ecran fără permisiunea utilizatorilor
„În timp ce extensiile VPN au nevoie în mod legitim de permisiuni precum proxy și stocare pentru funcționalitatea de bază”, a declarat Koi Security, „aceasta solicită mai multe permisiuni care permit colectarea pe scară largă a datelor”. Compania a identificat trei permisiuni, tab-uri și scripturi, care permit FreeVPN să injecteze un script în fiecare site web vizitat de utilizatorii săi. „Fără nicio acțiune din partea utilizatorului, fără niciun indiciu din partea interfeței utilizatorului, capturile de ecran sunt realizate în fundal, fără ca tu să știi vreodată.”
Politica de confidențialitate a FreeVPN.One recunoaște că poate face capturi de ecran ale paginilor vizitate de utilizatori, dar ar trebui să facă acest lucru numai dacă utilizatorii activează așa-numita funcție de detectare a amenințărilor AI, prin care „o instantanee (captură de ecran) și informații legate de pagină (cum ar fi adresa URL și conținutul vizibil al paginii) sunt transmise de la browserul dvs. către serverele noastre securizate și, dacă este cazul, către partenerii noștri de analiză verificați”.
Acest lucru sugerează că FreeVPN.One activează funcțiile de colectare a datelor numai dacă utilizatorii optează pentru funcția AI Threat Detection Feature… dar dezvoltatorul afirmă într-un alt paragraf că „utilizează date de utilizare anonimizate pentru a construi baza de date de informații privind amenințările, indiferent dacă AI Protection este activată sau nu”, ceea ce corespunde cu concluziile Koi Security.
Politica s-a modificat recent. O copie a politicii din 20 iunie nu conține secțiunea referitoare la datele de utilizare anonimizate, precum și fraza „Acest sistem este în versiune beta și este furnizat „așa cum este”, fără garanții de niciun fel, exprese sau implicite, inclusiv, dar fără a se limita la acuratețe, fiabilitate sau adecvare pentru un anumit scop.”
Dezvoltator fără dovezi de legitimitate, cum ar fi profilul companiei
De asemenea, lipsește antetul care precizează că FreeVPN.One este operat de o companie numită CMO Ltd. Nu se menționează deloc cine operează extensia; de fapt, singurul indiciu vine prin e-mailul furnizat de Google pentru a contacta dezvoltatorul. Domeniul asociat cu acel e-mail redirecționează către o pagină pentru Phoenix Software Solutions cu adresa URL „https://domain146.wixsite.com/phoenixsoftsol”. Un domeniu care nu inspiră tocmai încredere.
Raportul Koi Security include o analiză a tranziției lente a FreeVPN.One de la un VPN aparent inofensiv la o extensie care încalcă confidențialitatea între aprilie și iulie, precum și un rezumat al interacțiunilor companiei cu dezvoltatorul software-ului. (Care, aparent, a încetat să mai răspundă la întrebările cercetătorilor imediat ce aceștia au cerut „dovezi de legitimitate, cum ar fi profilul companiei, contul GitHub sau pagina LinkedIn”.)
Furnizorii de VPN fac adesea afirmații ridicole despre avantajele în materie de confidențialitate și securitate ale utilizării serviciilor lor. Merită să ne amintim că utilizarea acestor servicii necesită un nivel semnificativ de încredere în organizațiile care le furnizează; o astfel de încredere ar fi aproape sigur mai bine plasată în altă parte decât într-o extensie Chrome gratuită operată de un dezvoltator necunoscut care face capturi de ecran ale fiecărei pagini vizitate de utilizatori.
