Confidențialitatea online este tot mai greu de protejat, mulți utilizatori se bazează pe VPN-uri pentru a-și ascunde activitatea de ochii curioșilor. Însă cazul FreeVPN.One, o extensie de Chrome cu peste 100.000 de instalări, insignă „verificată” și recomandată de Google, demonstrează că uneori chiar instrumentele create pentru securitate pot deveni arme de supraveghere.
Cum a început totul
Timp de ani, FreeVPN.One a funcționat aparent normal, oferind servicii de tunelare a traficului. Totul s-a schimbat în 2025, când dezvoltatorul a introdus, treptat, modificări care au transformat extensia într-un sistem de spionaj permanent.
Actualizările au adăugat permisiuni excesive, precum acces la toate URL-urile vizitate și posibilitatea de a captura ecranul fără notificare. În iulie 2025, comportamentul malițios a fost activat complet.
Mecanismul de spionaj
Investigația Koi Security a arătat că extensia:
- Injecta scripturi pe orice site vizitat.
- Aștepta 1,1 secunde pentru a se asigura că pagina era complet încărcată.
- Realiza capturi de ecran ale filei active, împreună cu URL-ul, ID-ul filei, locația utilizatorului și detalii despre dispozitiv.
- Trimitea datele către servere externe (aitd.one), inițial în clar, apoi criptate cu AES-256-GCM și RSA pentru a evita detectarea.
Funcția „Scan with AI Threat Detection” era prezentată ca un control manual, dar capturile de ecran erau deja efectuate în fundal, fără consimțământ.
Permisiuni periculoase
Extensia solicita:
- <all_urls> – acces la toate site-urile vizitate.
- tabs și captureVisibleTab() – pentru capturarea ecranului.
- scripting – pentru injectarea de cod.
Aceste permisiuni, deși inutile pentru un VPN, ofereau control total asupra navigării utilizatorului.
Reacția dezvoltatorului
Contactat de cercetători, dezvoltatorul a susținut că:
- Capturile de ecran erau parte dintr-un „scanning de fundal” pentru detectarea amenințărilor.
- Datele nu erau stocate, ci doar analizate temporar.
Totuși, investigația a demonstrat că spionajul se desfășura inclusiv pe site-uri de încredere, precum Google Sheets sau Google Photos, iar afirmațiile nu au putut fi verificate. În plus, identitatea dezvoltatorului rămâne neclară, domeniul companiei ducând la o pagină Wix gratuită.
Lecția de învățat
Cazul FreeVPN.One arată cât de ușor poate fi exploatată încrederea utilizatorilor și cât de vulnerabile sunt platformele de distribuție precum Chrome Web Store. Chiar și extensiile „verificate” pot ascunde comportamente malițioase, iar verificările automate nu sunt suficiente pentru a preveni abuzurile.
Concluzie
Ceea ce a început ca un instrument de protecție s-a transformat într-o fereastră permanent deschisă către viața privată a utilizatorilor. Într-o eră în care datele personale sunt o monedă valoroasă, acest caz subliniază importanța vigilenței și a verificării atente a oricărui software instalat, indiferent de reputația aparentă.
Sursa: Koi Security