Эксперты компании Koi Security обнаружили серьезную угрозу конфиденциальности в популярном расширении FreeVPN.One для браузера Chrome. После недавнего обновления приложение начало тайно создавать скриншоты веб-страниц, которые посещают пользователи, и передавать их на удаленные серверы без уведомления.
Детали обнаруженной угрозы
Исследование показало, что расширение автоматически делает снимки экрана примерно через секунду после загрузки каждой веб-страницы. Первоначально данные передавались в незашифрованном виде, но после дополнительного обновления разработчики внедрили шифрование для маскировки своих действий.
На момент публикации отчета расширение имело более 100 000 активных установок и продолжало оставаться доступным в официальном магазине Chrome Web Store. Это подчеркивает масштаб потенциального воздействия на пользователей.
Как происходила трансформация расширения
Изменения в поведении FreeVPN.One начались в июле 2025 года. Разработчики использовали тактику постепенной эскалации полномочий, выпуская серию небольших обновлений, которые запрашивали дополнительные разрешения:
• Доступ ко всем посещаемым веб-сайтам
• Возможность внедрения пользовательских скриптов
• Активацию функций «обнаружения угроз с помощью ИИ»
Такой подход позволил злоумышленникам обойти системы автоматического мониторинга Chrome Web Store, которые могли бы заблокировать расширение при резком изменении его функциональности.
Ответ разработчиков и противоречия
На запрос журналистов The Register команда FreeVPN.one заявила, что их продукт «полностью соответствует политикам Chrome Web Store» и что функциональность создания скриншотов раскрыта в политике конфиденциальности.
Разработчики утверждают, что скриншоты создаются только для «фонового сканирования подозрительных доменов» и не сохраняются на серверах, а лишь анализируются на предмет потенциальных угроз.
Опровержение заявлений
Исследователи Koi Security предоставили доказательства того, что скриншоты создаются постоянно и для всех посещаемых сайтов, включая доверенные домены Google. Это полностью противоречит заявлениям разработчиков о селективном сканировании только подозрительных ресурсов.
Проблемы системы безопасности Chrome Web Store
Данный инцидент выявил серьезные пробелы в защитных механизмах официального магазина расширений Google. Несмотря на заявления о многоуровневой проверке безопасности, включающей:
• Автоматическое сканирование кода
• Ручные ревью обновлений
• Мониторинг изменений поведения
• Детекцию вредоносного кода
Все эти меры не смогли предотвратить распространение потенциально опасного расширения с верифицированным статусом разработчика.
Рекомендации по защите
Для минимизации рисков пользователям следует регулярно аудитировать установленные расширения браузера, внимательно изучать запрашиваемые разрешения при обновлениях и отдавать предпочтение решениям от проверенных разработчиков с длительной историей работы на рынке.
Случай с FreeVPN.One демонстрирует, что даже популярные и рекомендуемые расширения могут представлять угрозу конфиденциальности. Это подчеркивает важность постоянной бдительности пользователей и необходимость совершенствования систем безопасности в экосистеме браузерных расширений.