Cybersicherheitsexperten von Koi Security haben eine alarmierende Datenschutzverletzung in der beliebten Chrome-Erweiterung FreeVPN.One aufgedeckt. Nach einem kürzlichen Update begann die Anwendung unbemerkt Screenshots von besuchten Webseiten zu erstellen und diese ohne Nutzerbenachrichtigung an externe Server zu übertragen.
Umfang der Sicherheitsverletzung
Die forensische Analyse ergab, dass die Erweiterung automatisch etwa eine Sekunde nach dem Laden jeder Webseite Bildschirmaufnahmen generiert. Ursprünglich wurden diese Daten unverschlüsselt übertragen, doch nach einem weiteren Update implementierten die Entwickler eine Verschlüsselung, um ihre Aktivitäten zu verschleiern.
Zum Zeitpunkt der Berichterstattung verzeichnete die Erweiterung über 100.000 aktive Installationen und blieb weiterhin im offiziellen Chrome Web Store verfügbar. Dies verdeutlicht das massive Ausmaß der potenziellen Betroffenheit von Nutzern weltweit.
Schleichende Transformation der Browser-Erweiterung
Die verhaltensändernden Modifikationen von FreeVPN.One begannen im Juli 2025. Die Entwickler nutzten eine Taktik der graduellen Privilegienerweiterung durch eine Serie kleiner Updates, die schrittweise zusätzliche Berechtigungen anforderten:
• Vollzugriff auf alle besuchten Websites
• Berechtigung zur Einschleusung benutzerdefinierter Skripte
• Aktivierung von „KI-gestützter Bedrohungserkennung“
Diese Methodik ermöglichte es den Angreifern, die automatisierten Überwachungssysteme des Chrome Web Store zu umgehen, die bei drastischen Funktionsänderungen normalerweise Alarm schlagen würden.
Entwicklerreaktion und widersprüchliche Aussagen
Auf Anfrage von The Register behauptete das FreeVPN.one-Team, ihr Produkt „entspreche vollständig den Chrome Web Store-Richtlinien“ und die Screenshot-Funktionalität sei in der Datenschutzerklärung offengelegt.
Die Entwickler argumentieren, Screenshots würden ausschließlich für das „Hintergrundscannen verdächtiger Domains“ erstellt und nicht auf Servern gespeichert, sondern lediglich auf potenzielle Bedrohungen analysiert.
Widerlegung durch Sicherheitsforscher
Koi Security-Forscher präsentierten jedoch eindeutige Beweise, dass Screenshots kontinuierlich von allen besuchten Websites erstellt werden, einschließlich vertrauenswürdiger Google-Domains. Dies widerspricht fundamental den Behauptungen der Entwickler über selektives Scannen verdächtiger Ressourcen.
Versagen der Chrome Web Store Sicherheitsmechanismen
Dieser Vorfall offenbart gravierende Schwachstellen in Googles Schutzsystemen für Browser-Erweiterungen. Trotz beworbener mehrstufiger Sicherheitsprüfungen, die folgende Maßnahmen umfassen:
• Automatisierte Code-Analyse
• Manuelle Update-Reviews
• Verhaltensänderungs-Monitoring
• Malware-Erkennung
Alle diese Schutzmaßnahmen versagten dabei, die Verbreitung einer potenziell gefährlichen Erweiterung mit verifiziertem Entwicklerstatus zu verhindern.
Präventive Sicherheitsmaßnahmen
Zur Risikominimierung sollten Nutzer regelmäßige Audits ihrer installierten Browser-Erweiterungen durchführen, bei Updates sorgfältig die angeforderten Berechtigungen prüfen und bevorzugt Lösungen etablierter Entwickler mit nachweislicher Marktpräsenz verwenden.
Der FreeVPN.One-Zwischenfall demonstriert eindrücklich, dass selbst populäre und scheinbar vertrauenswürdige Erweiterungen erhebliche Datenschutzrisiken bergen können. Dies unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit seitens der Nutzer und dringender Verbesserungen der Sicherheitsarchitektur im Browser-Erweiterungs-Ökosystem.
