Специалисты из компании Koi Security предупреждают, что недавно изменилось поведение популярного Chrome-расширения FreeVPN.One. Оно начало тайно делать скриншоты активности пользователей и передавать их на удаленный сервер.
«Случай FreeVPN.One иллюстрирует, как продукт для защиты приватности может превратиться в ловушку, — пишут исследователи. — Разработчики расширения имеют верифицированный статус, а расширение даже попадало в рекомендации Chrome Web Store. И хотя Chrome заявляет, что проверяет безопасность новых версий расширений с помощью автоматического сканирования, ручных ревью, а также мониторинга вредоносного кода и изменений поведения, суть в том, что все эти меры не помогли. Этот случай показывает, что даже при наличии такой защиты опасные расширения могут обойти защиту, и подчеркивает серьезные пробелы в безопасности крупных магазинов».
На момент публикации отчета исследователей у расширения насчитывалось более 100 000 установок, и оно по-прежнему было доступно в Chrome Web Store.
Эксперты рассказывают, что после очередного обновления FreeVPN.One стало тайно делать скриншоты — примерно через секунду после загрузки каждой страницы. Затем скриншоты отправляются на удаленный сервер (сначала они передавались в открытом виде, а после еще одного обновления — в зашифрованном виде).
Исследователи утверждают, что поведение расширения изменилось в июле 2025 года. Перед этим разработчики «подготовили почву» более мелкими обновлениями, которые запрашивали дополнительные разрешения для доступа ко всем сайтам и внедрения кастомных скриптов. Также в это время в расширении появилось некое обнаружение угроз с помощью ИИ.
Журналисты издания The Register попросили разработчиков FreeVPN.one прокомментировать ситуацию. Те ответили, что их расширение «полностью соответствует политикам Chrome Web Store, и любая функциональность, связанная с созданием скриншотов, раскрыта в политике конфиденциальности».
«Все собираемые данные шифруются и обрабатываются согласно стандартным практикам для браузерных расширений. Мы стремимся к прозрачности и конфиденциальности пользователей и приглашаем ознакомиться с нашей документацией для получения более подробной информации», — заявили разработчики.
В ответ на обвинения Koi Security создатели FreeVPN.one заявили, что скриншоты делаются в рамках работы функции фонового сканирования и только в том случае, «если домен кажется подозрительным». Также в компании заявили, что скриншоты «не сохраняются и не используются», а только «кратко анализируются на предмет потенциальных угроз».
Исследователи опровергли это, продемонстрировав, что скриншоты создаются постоянно, в том числе, при посещении доверенных доменов, включая домены самой Google.
Скриншот захватил содержимое документа в «Google Таблицах»
При этом в описании продукта действительно упоминается «продвинутое ИИ-обнаружение угроз», которое работает в фоновом режиме и «постоянно мониторит просматриваемые сайты и сканирует их визуально, если вы посещаете подозрительную страницу». Однако там не уточняется, что «визуальное сканирование» означает постоянное создание скриншотов и их передачу на удаленный сервер без ведома пользователя.
KOI | Xakep |
|
