Фахівці кібербезпеки з компанії Koi Security виявили критичну загрозу конфіденційності у браузерному розширенні FreeVPN.One, яке встановлено понад 100 тисячами користувачів Chrome. Після останніх оновлень додаток почав приховано створювати скріншоти всіх веб-сторінок, які відвідують користувачі, та передавати їх на віддалені сервери без відома власників.
Механізм прихованого збору даних
Дослідження показало тривожну схему роботи зловмисного коду. Розширення автоматично робить знімки екрану приблизно через секунду після завантаження кожної веб-сторінки, що дозволяє перехоплювати конфіденційну інформацію, включаючи паролі, особисті дані та фінансову інформацію.
Спочатку дані передавалися у незашифрованому вигляді, що полегшувало їх виявлення. Однак після додаткового оновлення розробники впровадили шифрування для маскування своїх дій, ускладнюючи детекцію зловмисної активності системами безпеки.
Тактика поступової ескалації привілеїв
Трансформація FreeVPN.One у шпигунський інструмент розпочалася у липні 2025 року. Зловмисники застосували складну стратегію поступового розширення дозволів через серію малих оновлень, які запитували додаткові права доступу:
• Повний доступ до всіх веб-сайтів, які відвідує користувач
• Можливість впровадження власних скриптів на сторінки
• Активацію функцій штучного інтелекту для “виявлення загроз”
Така методика дозволила обійти автоматизовані системи моніторингу Chrome Web Store, які зазвичай блокують розширення з різкими змінами функціональності.
Суперечливі заяви розробників
У відповідь на звинувачення команда FreeVPN.one стверджує, що їхній продукт “повністю відповідає політикам Chrome Web Store” і що функціональність створення скріншотів розкрита в політиці конфіденційності. Розробники заявляють, що знімки створюються виключно для “фонового сканування підозрілих доменів”.
Проте експерти Koi Security надали докази того, що скріншоти створюються постійно для всіх відвідуваних сайтів, включаючи довірені домени Google та інших великих платформ. Це повністю спростовує заяви про селективне сканування лише підозрілих ресурсів.
Недоліки системи безпеки Chrome Web Store
Цей інцидент виявив серйозні прогалини у захисних механізмах офіційного магазину розширень Google. Незважаючи на багаторівневу систему перевірки безпеки, що включає автоматичне сканування коду, ручні огляди оновлень та моніторинг змін поведінки, всі ці заходи не змогли запобігти поширенню потенційно небезпечного розширення.
Особливо занепокоює той факт, що FreeVPN.One мало верифікований статус розробника, що зазвичай свідчить про додаткову перевірку з боку Google. Це підкреслює необхідність вдосконалення існуючих систем контролю якості.
Рекомендації щодо захисту приватності
Для мінімізації ризиків користувачам слід регулярно аудитувати встановлені розширення браузера та уважно вивчати дозволи, які запитують додатки при оновленнях. Варто надавати перевагу рішенням від перевірених розробників з тривалою історією роботи на ринку.
Випадок з FreeVPN.One демонструє, що навіть популярні розширення можуть становити серйозну загрозу конфіденційності. Це підкреслює важливість постійної пильності користувачів та необхідність кардинального вдосконалення систем безпеки в екосистемі браузерних розширень для запобігання подібним інцидентам у майбутньому.
