Как говорится, бесплатный сыр бывает только в мышеловке. Похоже, эта старая истина получила новое подтверждение в IT-отрасли. Специалисты по безопасности компании Koi обнаружили популярное VPN-расширение для браузер Chrome, которое тайно делало скриншоты посещенных страниц и собирало данные о местонахождении пользователей.

Проблемное расширение называется FreeVPN.One. Его загрузили более 100 тыс. раз из Chrome Web Store. Более того, оно получило от Google отметку Featured, которая должна была бы означать соблюдение рекомендованных практик безопасности, сообщает Sweclockers.

После анализа кода FreeVPN.One исследователи выяснили, что расширение автоматически делало скриншот ровно через 1,1 секунды после загрузки любой страницы. Снимок вместе с URL, ID вкладки и уникальным идентификатором пользователя отправлялся на сервер разработчика.

Официально у VPN есть функция Scan with AI Threat Detection, и в политике конфиденциальности сказано, что для работы инструмента могут передаваться выборочные скриншоты и адреса страниц на защищенные серверы. Но, как установила команда Koi, FreeVPN.One делал скриншоты всех страниц подряд и до запуска этого инструмента — пользователи даже не догадывались об этом.

Еще одна проблема — слежка за геолокацией. В последние месяцы VPN начал передавать не только снимки экрана, но и данные о геолокации и характеристиках устройства. В последней версии расширения используется шифрование AES-256-GCM с ключами RSA. Это делает гораздо более сложным выявление факта пересылки собранных данных на сервер.

По версии Koi, активный шпионаж начался в апреле, когда в обновлениях изменились разрешения: расширение получило доступ к каждому сайту, который посещал пользователь. Последующие обновления постепенно расширяли эти права, и, по мнению исследователей, разработчик проверял, насколько далеко можно зайти, не вызвав подозрения.