Egy népszerű Chrome bővítmény, ami ingyenesen kínál VPN (Virtuális Magánhálózat – Virtual Private Network) támogatást az érdeklődőknek, a jelek szerint a háttérben a felhasználó tudta és belegyezése nélkül készít képernyőfotót az összes meglátogatott weboldalról, majd ezeket a képeket elküldi az ismeretlen fejlesztő által használt szerverre. A szóban forgó bővítmény a FreeVPN.One nevet viseli, felhasználói bázisa eléggé nagy, hiszen 100 000-nél is többen telepítették, arról azonban nincs adat, pontosan mennyien használják rendszeresen.
A FreeVPN.One rejtélyes háttérfunkciójára az egyik biztonságtechnikai vállalat, a Koi Security mutatott rá a minap. A szóban forgó bővítmény egyébként a Google Featured jelvényét is megkapta, ami arra utal, hogy egy megbízható, a Google műszaki irányelveit követő, dizájn és felhasználói élmény terén magas szinten elhelyezkedő megoldásról van szó. Nincs kizárva, hogy anno, amikor ezt a plecsnit odaítélték, még minden rendben volt a szoftver körül, hiszen a Koi Security szerint felhasználói adatok védelme terén az április és a július közötti időszakban történtek változások, amelyeknek köszönhetően a felhasználók tudta és beleegyezése nélkül, automatikusan, a háttérben készült képernyőfotó a meglátogatott weboldalakról.
A VPN bővítményeknek rendszerint szükségük van bizonyos jogosultságokra ahhoz, hogy működjenek, ilyen például a proxy- és az adattár-hozzáférés, ám az aktuális szoftver ezeken felül egyéb jogosultságokat is kér, amelyek révén hozzáfér a böngészőfülekhez és képes szkriptet injektálni minden olyan weblap kódjába, amit a felhasználó meglátogat. A funkció teljesen automatikusan működik: a weboldal betöltését követően néhány másodpercen belül el is készül a képernyőfotó, majd ezt a fejlesztő által irányított szerverre továbbítja a bővítmény, mellé pedig a meglátogatott weblap URL-jét, a böngészőfül ID-jét, illetve egy egyedi felhasználói azonosítót is csatol. Ez a folyamat teljesen észrevétlenül, teljesen automatikusan, a háttérben zajlik le anélkül, hogy a felhasználó ebből bármit is érzékelne.
A FreeVPN.One dokumentációjában szerepel, hogy készíthet képernyőmentéseket a felhasználók által meglátogatott weboldalakról, de ennek a funkciónak csak akkor kéne működnie, ha az AI Threat Detection funkció aktív, márpedig a tesztek szerint ez az adatgyűjtés akkor is zajlik, ha a felhasználó nem kapcsolja be ezt az opciót. Később, egy mási bekezdésben már azt említi a szöveg, hogy a fejlesztő anonimizált felhasználási adatokat is gyűjthet annak érdekében, hogy az említett szolgáltatást fejleszthessék és adatbázisát növeljék, ez az opció viszont folyamatosan aktív, ahogy arra a Koi Security is rámutatott.
A probléma csak az, hogy a dokumentáció a június 20-i állapot szerint nem tartalmazta a fenti kitételt, azt utólag tették bele, és erről nem tájékoztatták a felhasználókat, valamint meg sem kérdezték őket, így is akarják-e folytatni a bővítmény használatát.
A fejlesztő kilétét nem sikerült megállapítani, így az sem tudható, pontosan hova, milyen céllal kerülnek az elvileg anonimizált adatok, mindenesetre ez így eléggé aggasztó helyzetet teremt, ráadásul pont egy VPN szolgáltatásról van szó, amelynek használata amúgy is nagyfokú bizalmat követel meg. Annyit sikerült kideríteni a nyomozás során, hogy a bővítményt egy COM Ltd nevű cég üzemelteti, a fejlesztő vagy a fejlesztőcsapat már nem reagál a biztonságtechnikai kutatók megkereséseire. Ez a bővítmény az elmúlt hónapok folyamán szépen lassan változott meg, adatvédelemre fókuszáló szoftverből a felhasználói adatokra veszélyt jelentő bővítménnyé silányodott. Ezúttal is igaz a mondás: nincs ingyen ebéd; ha úgy tűnik, valami ingyen van, azért valamikor valamilyen formában sokszor úgyis fizetni kell – ebben az esetben a bizalmas felhasználói adatokkal.
