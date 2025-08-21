Яке розширення слід видалити?

Мова йде про розширення FreeVPN.One, яке позиціювалося як надійний інструмент для захисту приватності в мережі. Однак дослідники з компанії Koi Security виявили, що застосунок веде приховану діяльність, яка повністю суперечить його призначенню. Проблема полягає в тому, що розширення безперервно та автоматично робить знімки всього, що користувач бачить на своєму екрані – чи то конфіденційна інформація в листуваннях, чи то дані для входу в банківський акаунт, чи будь-що інше, пише 24 Канал.

Механізм шпигунства був реалізований доволі хитро. Після встановлення розширення запитувало надмірну кількість дозволів, включно з доступом до даних на всіх відвідуваних сайтах. Через 1,1 секунди після завантаження будь-якої вебсторінки фоновий скрипт автоматично робив скриншот видимої частини вкладки. Потім це зображення разом із URL-адресою, ідентифікатором вкладки та унікальним ідентифікатором користувача відправлялося на сторонній сервер aitd.one. При цьому користувач не отримував жодних сповіщень про це.



Так виглядає розширення в магазині Google / Скриншот Koi Security

Цікаво, що розширення мало функцію під назвою "Сканування загрози за допомогою ШІ". Під час її активації застосунок також робив знімок екрана, що було зазначено в політиці конфіденційності. Проте в документі не було жодної згадки про те, що програма постійно робить скриншоти у фоновому режимі, навіть коли ця функція неактивна.

Експерти з'ясували, що розширення не завжди було шпигунським. Протягом кількох років воно функціонувало як звичайний VPN-інструмент. Однак усе змінилося з оновленнями у 2025 році.

У квітні версія 3.0.3 отримала дозвіл на доступ до всіх сайтів, що стало першим кроком до шпигунства.

У червні, з виходом версії 3.1.1, розширення отримало новий функціонал "виявлення загроз ШІ" та почало тестувати скрипти на всіх вебсайтах.

Повноцінне шпигунство активувалося 17 липня з версією 3.1.3, коли розширення почало масово робити скриншоти та збирати дані про місцеперебування і пристрої користувачів.

Уже наприкінці липня розробники випустили оновлення 3.1.4, в якому додали шифрування AES-256, щоб приховати свою шпигунську діяльність та ускладнити її виявлення.

Коли дослідники звернулися до розробника за поясненнями, той заявив, що фонове сканування начебто потрібне для виявлення підозрілих доменів. Однак на практиці скриншоти робилися навіть на цілком безпечних сайтах, як-от Google Sheets чи Google Photos, зливаючи конфіденційні дані (наприклад, робочі чи фінансові) та фотографії. Розробник також стверджував, що не зберігає знімки, але перевірити це неможливо. Зрештою, коли його попросили надати докази легітимності своєї компанії, він просто перестав відповідати на листи.

Цей випадок демонструє серйозні прогалини в системі безпеки Chrome Web Store, оскільки навіть перевірені та рекомендовані розширення можуть виявитися небезпечними.