بررسیهای شرکت Koi Security نشان میدهد افزونه رایگان FreeVPN.One که در فروشگاه کروم بیش از ۱۰۰ هزار بار نصب شده و حتی نشان «تأییدشده» گوگل را داشت، به طور مخفیانه از صفحه مرورگر کاربران اسکرینشات گرفته و آنها را به سروری ناشناس ارسال میکرد.
بر اساس این گزارش، این افزونه با استفاده از دسترسیهای ویژه مرورگر کروم، بلافاصله پس از بارگذاری هر وبسایت از صفحه کامل کاربر عکس گرفته و همراه با دادههایی مانند آدرس وبسایت، شناسه صفحه مرورگر و شناسه کاربر به دامنهای به نام aitd.one منتقل میکرد. محتوای ثبتشده شامل پیامهای شخصی، داشبوردهای مالی و حتی تصاویر خصوصی کاربران بوده است.
مکانیزم نظارتی افزونه در دو بخش پیادهسازی شده: یک اسکریپت محتوایی که در تمام وبسایتها تزریق میشود و یک سرویس پسزمینه که وظیفه ثبت و ارسال تصاویر را دارد. افزونه همچنین بخشی تحت عنوان «تشخیص تهدید با هوش مصنوعی» معرفی کرده بود که در ظاهر یک قابلیت امنیتی است، اما در عمل نقش پوششی برای فعالیتهای جاسوسی دارد.
طبق یافتههای محققان، نسخه ۳.۱.۴ افزونه که در ۲۵ ژوئیه منتشر شد، برای پنهانسازی دادههای خروجی از رمزگذاری AES-256-GCM با کلید RSA استفاده میکند تا تشخیص فعالیتهای مشکوک برای ابزارهای نظارتی دشوارتر شود. بررسی تاریخچه توسعه نشان میدهد این افزونه از آوریل ۲۰۲۵ به تدریج دسترسیهای بیشتری گرفته و از نیمه ژوئیه به طور کامل به ابزار جاسوسی بدل شده بود.
توسعهدهنده افزونه در پاسخ به Koi Security مدعی شد گرفتن اسکرینشاتها بخشی از یک «اسکن امنیتی» است و تصاویر تنها برای تحلیل توسط هوش مصنوعی استفاده میشوند. اما این ادعا با شواهد ارائهشده همخوانی ندارد، چرا که دادهها بدون محدودیت از وبسایتهای عادی مانند گوگل شیت، پرتالهای بانکی و گالریهای عکس نیز جمعآوری شدهاند.
بررسیهای بیشتر نشان داد ناشر این افزونه هیچ حضور شرکتی شفافی ندارد و وبسایت معرفیشده او صرفا یک صفحه ساده در سرویس Wix است. پس از مدتی نیز توسعهدهنده ارتباط خود را با پژوهشگران قطع کرده است.
افزونه یاد شده در حال حاضر از فروشگاه کروم حذف شده است. کارشناسان توصیه میکنند کاربرانی که این افزونه را نصب کردهاند، رمز عبور حسابهای خود را تغییر دهند و از سرویسهای VPN معتبر با سیاستهای شفاف استفاده کنند.
توضیحات بیشتر:
Chrome VPN Extension With 100k Installs Screenshots All Sites Users Visit