FreeVPN.One Browser-Erweiterung erstellt heimlich Screenshots – Schwere Sicherheitslücke entdeckt

CyberSecureFox 🦊

Cybersicherheitsexperten von Koi Security haben eine alarmierende Datenschutzverletzung in der beliebten Chrome-Erweiterung FreeVPN.One aufgedeckt. Nach einem kürzlichen Update begann die Anwendung unbemerkt Screenshots von besuchten Webseiten zu erstellen und diese ohne Nutzerbenachrichtigung an externe Server zu übertragen.

Umfang der Sicherheitsverletzung

Die forensische Analyse ergab, dass die Erweiterung automatisch etwa eine Sekunde nach dem Laden jeder Webseite Bildschirmaufnahmen generiert. Ursprünglich wurden diese Daten unverschlüsselt übertragen, doch nach einem weiteren Update implementierten die Entwickler eine Verschlüsselung, um ihre Aktivitäten zu verschleiern.

Zum Zeitpunkt der Berichterstattung verzeichnete die Erweiterung über 100.000 aktive Installationen und blieb weiterhin im offiziellen Chrome Web Store verfügbar. Dies verdeutlicht das massive Ausmaß der potenziellen Betroffenheit von Nutzern weltweit.

Schleichende Transformation der Browser-Erweiterung

Die verhaltensändernden Modifikationen von FreeVPN.One begannen im Juli 2025. Die Entwickler nutzten eine Taktik der graduellen Privilegienerweiterung durch eine Serie kleiner Updates, die schrittweise zusätzliche Berechtigungen anforderten:

• Vollzugriff auf alle besuchten Websites
• Berechtigung zur Einschleusung benutzerdefinierter Skripte
• Aktivierung von „KI-gestützter Bedrohungserkennung“

Diese Methodik ermöglichte es den Angreifern, die automatisierten Überwachungssysteme des Chrome Web Store zu umgehen, die bei drastischen Funktionsänderungen normalerweise Alarm schlagen würden.

Entwicklerreaktion und widersprüchliche Aussagen

Auf Anfrage von The Register behauptete das FreeVPN.one-Team, ihr Produkt „entspreche vollständig den Chrome Web Store-Richtlinien“ und die Screenshot-Funktionalität sei in der Datenschutzerklärung offengelegt.

Die Entwickler argumentieren, Screenshots würden ausschließlich für das „Hintergrundscannen verdächtiger Domains“ erstellt und nicht auf Servern gespeichert, sondern lediglich auf potenzielle Bedrohungen analysiert.

Widerlegung durch Sicherheitsforscher

Koi Security-Forscher präsentierten jedoch eindeutige Beweise, dass Screenshots kontinuierlich von allen besuchten Websites erstellt werden, einschließlich vertrauenswürdiger Google-Domains. Dies widerspricht fundamental den Behauptungen der Entwickler über selektives Scannen verdächtiger Ressourcen.

Versagen der Chrome Web Store Sicherheitsmechanismen

Dieser Vorfall offenbart gravierende Schwachstellen in Googles Schutzsystemen für Browser-Erweiterungen. Trotz beworbener mehrstufiger Sicherheitsprüfungen, die folgende Maßnahmen umfassen:

• Automatisierte Code-Analyse
• Manuelle Update-Reviews
• Verhaltensänderungs-Monitoring
• Malware-Erkennung

Alle diese Schutzmaßnahmen versagten dabei, die Verbreitung einer potenziell gefährlichen Erweiterung mit verifiziertem Entwicklerstatus zu verhindern.

Präventive Sicherheitsmaßnahmen

Zur Risikominimierung sollten Nutzer regelmäßige Audits ihrer installierten Browser-Erweiterungen durchführen, bei Updates sorgfältig die angeforderten Berechtigungen prüfen und bevorzugt Lösungen etablierter Entwickler mit nachweislicher Marktpräsenz verwenden.

Der FreeVPN.One-Zwischenfall demonstriert eindrücklich, dass selbst populäre und scheinbar vertrauenswürdige Erweiterungen erhebliche Datenschutzrisiken bergen können. Dies unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit seitens der Nutzer und dringender Verbesserungen der Sicherheitsarchitektur im Browser-Erweiterungs-Ökosystem.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.