Удалите немедленно: исследователи нашли опасное расширение для Chrome, которое снимает ваш экран
- Расширение FreeVPN.One для Chrome, которое позиционировалось как надежный VPN-сервис, оказалось шпионским.
- Оно постоянно делает скриншоты экрана без ведома пользователей.
- Шпионская активность расширения началась с обновления в 2025 году, когда оно получило разрешение на доступ ко всем сайтам и начало массово собирать данные пользователей.
Популярный VPN-сервис в виде расширения для браузера, который имел отметку "проверено" от Google и более 100 тысяч загрузок, оказался шпионским программным обеспечением. В течение длительного времени он без ведома пользователей делал снимки экрана, фиксируя всю их активность в интернете, а затем отправлял эти данные на сторонние серверы.
Какое расширение следует удалить?
Речь идет о расширении FreeVPN.One, которое позиционировалось как надежный инструмент для защиты приватности в сети. Однако исследователи из компании Koi Security обнаружили, что приложение ведет скрытую деятельность, которая полностью противоречит его назначению. Проблема заключается в том, что расширение непрерывно и автоматически делает снимки всего, что пользователь видит на своем экране – будь то конфиденциальная информация в переписках, или данные для входа в банковский аккаунт, или что-либо другое, пишет 24 Канал.
Смотрите также Новый стандарт криптографической защиты наконец готов, чтобы обезопасить даже самые маленькие устройства
Механизм шпионажа был реализован довольно хитро. После установки расширение запрашивало чрезмерное количество разрешений, включая доступ к данным на всех посещаемых сайтах. Через 1,1 секунды после загрузки любой веб-страницы фоновый скрипт автоматически делал скриншот видимой части вкладки. Затем это изображение вместе с URL-адресом, идентификатором вкладки и уникальным идентификатором пользователя отправлялось на сторонний сервер aitd.one. При этом пользователь не получал никаких уведомлений об этом.
Так выглядит расширение в магазине Google / Скриншот Koi Security
Интересно, что расширение имело функцию под названием "Сканирование угрозы с помощью ИИ". Во время ее активации приложение также делало снимок экрана, что было указано в политике конфиденциальности. Однако в документе не было ни одного упоминания о том, что программа постоянно делает скриншоты в фоновом режиме, даже когда эта функция неактивна.
Эксперты выяснили, что расширение не всегда было шпионским. В течение нескольких лет оно функционировало как обычный VPN-инструмент. Однако все изменилось с обновлениями в 2025 году.
- В апреле версия 3.0.3 получила разрешение на доступ ко всем сайтам, что стало первым шагом к шпионажу.
- В июне, с выходом версии 3.1.1, расширение получило новый функционал "выявление угроз ИИ" и начало тестировать скрипты на всех сайтах.
- Полноценный шпионаж активировался 17 июля с версией 3.1.3, когда расширение начало массово делать скриншоты и собирать данные о местонахождении и устройствах пользователей.
- Уже в конце июля разработчики выпустили обновление 3.1.4, в котором добавили шифрование AES-256, чтобы скрыть свою шпионскую деятельность и усложнить ее обнаружение.
Когда исследователи обратились к разработчику за объяснениями, тот заявил, что фоновое сканирование якобы нужно для выявления подозрительных доменов. Однако на практике скриншоты делались даже на вполне безопасных сайтах, например Google Sheets или Google Photos, сливая конфиденциальные данные (например, рабочие или финансовые) и фотографии. Разработчик также утверждал, что не сохраняет снимки, но проверить это невозможно. В конце концов, когда его попросили предоставить доказательства легитимности своей компании, он просто перестал отвечать на письма.
Этот случай демонстрирует серьезные пробелы в системе безопасности Chrome Web Store, поскольку даже проверенные и рекомендованные расширения могут оказаться опасными.