Популярное VPN-расширение для Chrome тайно делало скриншоты всех посещаемых страниц

Компания Koi Security обнаружила, что популярное расширение для Google Chrome с более чем 100 000 установок делало скриншоты каждого сайта, который посещали его пользователи, и отправляло их на домен, контролируемый анонимным разработчиком ПО.

Речь идёт о расширении FreeVPN.One, которое позиционирует себя как «самый быстрый бесплатный VPN для Chrome» и гордится значком «Featured», который Google присваивает расширениям, «следующим нашим техническим лучшим практикам и соответствующим высоким стандартам пользовательского опыта и дизайна». Однако выяснилось, что FreeVPN.One месяцами подрывал конфиденциальность пользователей.

«Хотя VPN-расширениям законно требуются такие разрешения, как proxy и storage для основной функциональности, — заявили в Koi Security, — это расширение запрашивает больше разрешений, которые позволяют осуществлять массовый сбор данных».

Компания выявила три разрешения — tabs и scripting, — которые позволяют FreeVPN внедрять скрипт на каждый сайт, который посещают пользователи. «Спустя секунды после загрузки любой страницы фоновый триггер делает скриншот и отправляет его на aitd[.]one/brange.php вместе с URL-адресом страницы, идентификатором вкладки и уникальным идентификатором пользователя», — поясняется в отчете. «Никаких действий пользователя, никаких подсказок в интерфейсе — скриншоты делаются в фоновом режиме без вашего ведома».

Политика конфиденциальности FreeVPN.One действительно признаёт, что оно может делать скриншоты посещаемых пользователями страниц, но предполагается, что это происходит только в том случае, если пользователи включают так называемую функцию AI Threat Detection, с помощью которой «снимок (скриншот) и связанная информация о странице (например, URL-адрес и видимое содержимое страницы) передаются из вашего браузера на наши защищенные серверы и, при необходимости, нашим проверенным партнерам по анализу».

Это наводит на мысль, что FreeVPN.One активирует функции сбора данных только в том случае, если пользователи соглашаются на функцию AI Threat Detection... но в другом абзаце разработчик заявляет, что они «используют анонимизированные данные об использовании для построения нашей базы данных угроз, независимо от того, включена ли защита ИИ», что соответствует выводам Koi Security.

Политика также недавно изменилась. Копия политики от 20 июня не содержит раздела об анонимизированных данных об использовании, а также строки: «Эта система находится в стадии бета-тестирования и предоставляется «как есть» без каких-либо гарантий или обязательств любого рода, явных или подразумеваемых, включая, но не ограничиваясь, точностью, надежностью или пригодностью для конкретной цели».

Также отсутствует заголовок, в котором говорится, что FreeVPN.One управляется компанией под названием CMO Ltd. Вообще нет упоминания о том, кто управляет расширением; единственная зацепка — это электронная почта, которую Google предоставляет для связи с разработчиком. Домен, связанный с этим адресом электронной почты, перенаправляет на страницу Phoenix Software Solutions с URL-адресом «https://domain146.wixsite.com/phoenixsoftsol». Не то чтобы это внушает доверие.

Отчет Koi Security включает анализ медленного перехода FreeVPN.One от, казалось бы, безобидного VPN к расширению, нарушающему конфиденциальность, в период с апреля по июль, а также резюме взаимодействий компании с разработчиком ПО. (Который, судя по всему, перестал отвечать на запросы исследователей, как только они попросили «доказательства легитимности, такие как профиль компании, аккаунт GitHub или страница в LinkedIn».)

VPN-провайдеры часто делают нелепые заявления о преимуществах их услуг для конфиденциальности и безопасности. Стоит помнить, что использование этих услуг требует значительного доверия к организациям, которые их предоставляют; такое доверие почти наверняка лучше разместить где-нибудь в другом месте, а не в бесплатном расширении для Chrome, управляемом неизвестным разработчиком, который делает скриншоты каждой посещаемой пользователями страницы.

Источник: Tomshardware.com