VPN-расширение FreeVPN. One из Chrome Web Store шпионит за пользователями
Распространяемое через Chrome Web Store расширение FreeVPN. One, установленное более чем 100 тысячами пользователей, оказалось вредоносным ПО. Исследователи обнаружили, что FreeVPN. One тайно делает скриншоты экранов и отправляет их на удалённый сервер, вместе с данными о посещённых страницах. Несмотря на заявления разработчика о необходимости скриншотов для сканирования подозрительных доменов, исследователи установили, что фиксация происходила и на доверенных сервисах.
Распространяемое через Chrome Web Store расширение FreeVPN. One, установленное более чем 100 тысячами пользователей, оказалось вредоносным программным обеспечением. Исследователи из Koi Security обнаружили, что FreeVPN. One, несмотря на отметку верификации и высокую оценку в магазине, тайно делает скриншоты экранов и отправляет их на удалённый сервер, вместе с данными о посещённых страницах.
Скрытый сбор данных
Новые возможности для сбора данных были добавлены в обновления FreeVPN. One в 2025 году. Наибольшая активность фиксации скриншотов была зафиксирована с 17 июля, перед вступлением в силу британских правил обязательной верификации возраста, которые привели к росту популярности VPN-сервисов.
Формально в описании расширения упоминается функция «сканирования с помощью AI Threat Detection», которая работает через загрузку скриншотов и адресов сайтов для проверки. На деле же FreeVPN. One начал тайно фиксировать изображения экранов при каждом открытии страниц — даже без нажатия пользователем на кнопку.
Утечка конфиденциальной информации
Отчет Koi Security подчеркивает, что скриншоты могут содержать пароли, банковские реквизиты, личную переписку и другую конфиденциальную информацию. Изображения отправлялись на сервер, не связанный с самим VPN-сервисом, превращая FreeVPN. One в канал утечки данных.
Дополнительно фиксировалась информация о геолокации по IP и характеристиках устройства, передаваемая в закодированном виде. Последняя версия добавила шифрование AES-256-GCM с обёрткой ключей RSA для сокрытия передачи данных.
Расширение прав доступа
Для работы VPN-дополнения достаточно разрешений на использование прокси и хранения данных. Однако FreeVPN. One запрашивал полный доступ к посещаемым URL, вкладкам браузера и скриптам. Такой набор открывает возможности для постоянного мониторинга активности пользователя. Хронология обновлений показывает, как разработчик шаг за шагом расширял права: в апреле 2025 года было добавлено разрешение all_URLs, в июне — ещё более широкие возможности для выполнения скриптов. Всё это представлялось как «улучшение безопасности», хотя фактически позволяло проверять пределы допустимого.
Отсутствие прозрачности
Авторы расширения не указали реальное имя или организацию ни в условиях использования, ни в политике конфиденциальности, оставив лишь общий адрес электронной почты. Попытки исследователей связаться с разработчиком не дали результата: сначала он утверждал, что скриншоты нужны для «фонового сканирования подозрительных доменов», но примеры показывали обратное — фиксация происходила и на доверенных сервисах вроде Google Sheets и Google Photos. После просьбы предоставить подтверждения легитимности — профиль компании, репозиторий на GitHub или аккаунт в LinkedIn⋆ — разработчик прекратил общение.
Важность проверки прав доступа
Инцидент с FreeVPN. One вновь показывает, что наличие отметки «верифицировано» и высокая популярность расширения в магазине Chrome не гарантируют безопасности. Для пользователей это сигнал о необходимости внимательнее относиться к тому, какие права запрашивает программа, и насколько оправдан их объём.
Распространение вредоносного программного обеспечения под видом полезных инструментов, таких как VPN-расширения, представляет собой растущую угрозу для цифровой безопасности. Случай с FreeVPN. One, установленным более чем 100 тысячами пользователей, демонстрирует, насколько опасным может быть некритическое доверие к приложениям в официальных магазинах.
Во-первых, этот инцидент обнажает уязвимость систем верификации. Несмотря на отметку верификации в Chrome Web Store и высокую оценку, FreeVPN. One тайно собирал конфиденциальные данные пользователей, включая скриншоты экранов, адреса посещаемых сайтов и информацию о геолокации. Это подчеркивает необходимость более строгих процедур проверки приложений и постоянного мониторинга за их деятельностью.
Во-вторых, случай с FreeVPN. One демонстрирует важность внимательного изучения прав доступа, которые запрашивают приложения. Разработчики расширения постепенно расширяли свои возможности, маскируя сбор данных под «улучшением безопасности». Пользователи, не обращая внимания на запросы о доступе к URL, вкладкам и скриптам, фактически предоставляли доступ ко всей своей онлайн-активности.
В-третьих, этот инцидент вновь поднимает вопрос о прозрачности разработчиков. Отсутствие информации о реальном имени или организации за FreeVPN. One, а также игнорирование запросов исследователей о легитимности проекта, свидетельствуют о недобросовестных намерениях. Пользователи должны быть более осмотрительными при установке приложений от неизвестных разработчиков и требовать большей прозрачности в отношении их деятельности.
В долгосрочной перспективе инцидент с FreeVPN. One может привести к усилению мер по защите данных пользователей и повышению требований к безопасности приложений. Он также подчеркивает важность цифровой грамотности и необходимости критического отношения к информации в онлайн-пространстве.
Источник: securitylab.ru
