100 000 человек уже отдали FreeVPN.One пароли, фото и переписку — и даже не заметили, как стали жертвами

FreeVPN VPN Google Chrome Koi Web Store утечки
100 000 человек уже отдали FreeVPN.One пароли, фото и переписку — и даже не заметили, как стали жертвами
FreeVPN VPN Google Chrome Koi Web Store утечки

Как галочка «верифицировано» в Chrome обернулась капканом.

image

Популярное расширение FreeVPN.One для Google Chrome, установленное более чем 100 тысячами пользователей и отмеченное галочкой верификации, оказалось шпионской программой . Исследователи из Koi Security обнаружили, что оно незаметно делает скриншоты экранов и отправляет их на удалённый сервер вместе с данными о посещённых страницах. Несмотря на репутацию «безопасного» инструмента, расширение продолжает оставаться доступным в официальном Chrome Web Store, имеет свыше тысячи отзывов и среднюю оценку 3,8 звезды.

Судя по всему, новые возможности для скрытого сбора данных были добавлены в обновлениях 2025 года. Наибольшую активность они зафиксировали с 17 июля, прямо перед вступлением в силу британских правил обязательной верификации возраста, которые подтолкнули пользователей массово переходить на VPN-сервисы . Формально в описании расширения упоминается функция «сканирования с помощью AI Threat Detection», которая работает через загрузку скриншотов и адресов сайтов для проверки. На деле же инструмент начал тайно фиксировать изображения экранов при каждом открытии страниц — даже без нажатия пользователем на кнопку.

В отчёте подчёркивается, что такие скриншоты могут содержать всё: пароли, банковские реквизиты, личную переписку и другую конфиденциальную информацию. Изображения отправлялись на сервер, не связанный с самим VPN-сервисом, что превращает FreeVPN.One в канал утечки данных, прямо противоположный назначению VPN. Дополнительно фиксировалась информация о геолокации по IP и характеристиках устройства, передаваемая в закодированном виде. Последняя версия добавила шифрование AES-256-GCM с обёрткой ключей RSA, чтобы скрыть передачу.

Для работы VPN-дополнения достаточно разрешений на использование прокси и хранения данных. Однако FreeVPN.One запрашивал полный доступ к посещаемым URL, вкладкам браузера и скриптам. Такой набор открывает возможности для постоянного мониторинга активности пользователя. Хронология обновлений показывает, как разработчик шаг за шагом расширял права: в апреле 2025 года было добавлено разрешение all_URLs, в июне — ещё более широкие возможности для выполнения скриптов. Всё это представлялось как «улучшение безопасности», хотя фактически позволяло проверять пределы допустимого.

Авторы расширения не указали реальное имя или организацию ни в условиях использования, ни в политике конфиденциальности, оставив лишь общий адрес электронной почты. Попытки исследователей связаться с разработчиком не дали результата: сначала он утверждал, что скриншоты нужны для «фонового сканирования подозрительных доменов», но примеры показывали обратное — фиксация происходила и на доверенных сервисах вроде Google Sheets и Google Photos. После просьбы предоставить подтверждения легитимности — профиль компании, репозиторий на GitHub или аккаунт в LinkedIn — разработчик прекратил общение.

Инцидент вновь показывает, что наличие отметки «верифицировано» и высокая популярность расширения в магазине Chrome не гарантируют безопасности. Для пользователей это сигнал о необходимости внимательнее относиться к тому, какие права запрашивает программа, и насколько оправдан их объём.