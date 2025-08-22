Специалисты из компании Koi Security предупреждают, что недавно изменилось поведение популярного Chrome-расширения FreeVPN.One. Оно начало тайно делать скриншоты активности пользователей и передавать их на удаленный сервер.

«Случай FreeVPN.One иллюстрирует, как продукт для защиты приватности может превратиться в ловушку, — пишут исследователи. — Разработчики расширения имеют верифицированный статус, а расширение даже попадало в рекомендации Chrome Web Store. И хотя Chrome заявляет, что проверяет безопасность новых версий расширений с помощью автоматического сканирования, ручных ревью, а также мониторинга вредоносного кода и изменений поведения, суть в том, что все эти меры не помогли. Этот случай показывает, что даже при наличии такой защиты опасные расширения могут обойти защиту, и подчеркивает серьезные пробелы в безопасности крупных магазинов».

На момент публикации отчета исследователей у расширения насчитывалось более 100 000 установок, и оно по-прежнему было доступно в Chrome Web Store.

Эксперты рассказывают, что после очередного обновления FreeVPN.One стало тайно делать скриншоты — примерно через секунду после загрузки каждой страницы. Затем скриншоты отправляются на удаленный сервер (сначала они передавались в открытом виде, а после еще одного обновления — в зашифрованном виде).

Исследователи утверждают, что поведение расширения изменилось в июле 2025 года. Перед этим разработчики «подготовили почву» более мелкими обновлениями, которые запрашивали дополнительные разрешения для доступа ко всем сайтам и внедрения кастомных скриптов. Также в это время в расширении появилось некое обнаружение угроз с помощью ИИ.

Журналисты издания The Register попросили разработчиков FreeVPN.one прокомментировать ситуацию. Те ответили, что их расширение «полностью соответствует политикам Chrome Web Store, и любая функциональность, связанная с созданием скриншотов, раскрыта в политике конфиденциальности».

«Все собираемые данные шифруются и обрабатываются согласно стандартным практикам для браузерных расширений. Мы стремимся к прозрачности и конфиденциальности пользователей и приглашаем ознакомиться с нашей документацией для получения более подробной информации», — заявили разработчики.

В ответ на обвинения Koi Security создатели FreeVPN.one заявили, что скриншоты делаются в рамках работы функции фонового сканирования и только в том случае, «если домен кажется подозрительным». Также в компании заявили, что скриншоты «не сохраняются и не используются», а только «кратко анализируются на предмет потенциальных угроз».

Исследователи опровергли это, продемонстрировав, что скриншоты создаются постоянно, в том числе, при посещении доверенных доменов, включая домены самой Google.

При этом в описании продукта действительно упоминается «продвинутое ИИ-обнаружение угроз», которое работает в фоновом режиме и «постоянно мониторит просматриваемые сайты и сканирует их визуально, если вы посещаете подозрительную страницу». Однако там не уточняется, что «визуальное сканирование» означает постоянное создание скриншотов и их передачу на удаленный сервер без ведома пользователя.