Исследователи из Koi Security раскрыли скрытые функции расширения FreeVPN.One для Google Chrome, которым пользовались более 100 000 человек. Дополнение, отмеченное в магазине Chrome значком «Подтверждено», оказалось шпионским инструментом: оно делало скриншоты сайтов, фиксировало личные данные и пересылало их на неизвестный сервер.

Как работало шпионское расширение

• После загрузки страницы активировался скрытый механизм слежки.

• Используя API chrome.tabs.captureVisibleTab(), расширение делало полноэкранные скриншоты без уведомлений.

• Вместе с изображениями собирались URL-адреса, идентификаторы вкладок и уникальные ID пользователей.

• Все данные пересылались на сервер, контролируемый разработчиком.

Встроенная функция «Обнаружение угроз с помощью ИИ» оказалась обманкой: скриншоты отправлялись ещё до того, как пользователь включал её вручную.

Хронология превращения FreeVPN.One в шпионский софт

• Апрель 2025 (v3.0.3): расширение прав без активного шпионажа.

• Июнь 2025 (v3.1.1): добавлена «функция ИИ», скрипты распространяются на все сайты.

• 17 июля (v3.1.3): активируется слежка — скриншоты, сбор геоданных и отпечатков устройств.

• 25 июля (v3.1.4): внедрено шифрование AES-256-GCM, скрывающее украденные данные.

Реакция разработчика

Создатель FreeVPN.One заявил, что скриншоты якобы нужны для «сканирования безопасности» и анализа угроз с помощью искусственного интеллекта. Однако он не представил доказательств, что данные не сохранялись. Более того, домен, указанный в контактных данных, оказался пустым и не содержал прозрачной информации о компании. После первых ответов разработчик перестал выходить на связь.

Почему это опасно

По данным Koi Security, расширение собирало сведения с банковских сайтов, мессенджеров и фотогалерей, что могло привести к утечке:

• личной переписки,

• финансовых данных,

• личных фото и документов.

Что делать пользователям

• Немедленно удалить FreeVPN.One из Chrome.

• Сменить пароли ко всем сервисам, которые использовались в браузере.

• Включить двухфакторную аутентификацию для защиты аккаунтов.

Итог: даже расширения с «подтверждённым» статусом в Chrome Web Store могут оказаться шпионскими. Случай с FreeVPN.One — яркое напоминание, что при выборе VPN стоит доверять только проверенным сервисам с репутацией и прозрачной политикой безопасности.