Исследователи безопасности Koi Security обнаружили шпионские функции в расширении FreeVPN.One для браузера Chrome с более чем 100 000 установок и значком «Подтверждено» в официальном магазине расширений Chrome. Дополнение уличили в том, что оно делало полноэкранные скриншоты из браузеров пользователей, перехватывало конфиденциальные данные, в том числе личные сообщения, финансовые сведения и личные фотографии, и загружало их на удалённый сервер.

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Источник изображения: unsplash.com

Исследователи Koi Security утверждают, что расширение FreeVPN.One бессистемно собирало данные пользователей с безопасных и популярных сайтов, включая банковские порталы и фотогалереи. Эти данные затем передавались на контролируемый злоумышленником сервер без взаимодействия с пользователем или визуального отображения.

Анализ, произведённый специалистами Koi Security, показал, что механизм слежки активируется автоматически в течение нескольких секунд после загрузки любой веб-страницы. Скриншоты создаются в фоновом режиме с помощью привилегированного API chrome.tabs.captureVisibleTab() и объединяются с метаданными, включая URL-адреса страниц, идентификаторы вкладок и уникальные идентификаторы пользователей.

Скрипт, который запускается на каждой посещаемой странице и делает снимок экрана./ Источник изображений: Koi Security

Встроенная функция «Обнаружение угроз с помощью ИИ» делает скриншот и отправляет его на сервер разработчика до того, как пользователь взаимодействует с этой функцией, превращая её пользовательский интерфейс в обманку. Кроме того, в последней версии расширения v3.1.4 было добавлено шифрование AES-256-GCM с RSA-обёрткой ключей для сокрытия украденных данных, что затрудняет их обнаружение и анализ с помощью инструментов сетевого мониторинга.

Исследователи представили хронологию развития расширения FreeVPN.One, превратившегося в инструмент шпионажа:

• Апрель 2025 г. (v3.0.3): Запросы на расширение прав — шаг, расширяющий возможности слежки, но пока без шпионажа.
• Июнь 2025 г. (v3.1.1): Добавление функции «Обнаружение угроз с помощью ИИ»; скрипты контента распространяются на все веб-сайты; добавлено разрешение на выполнение скриптов.
• 17 июля 2025 г. (v3.1.3): Активация шпионского ПО. Начинается создание скриншотов, отслеживание местоположения и снятие отпечатков устройств.
• 25 июля 2025 г. (v3.1.4): Добавлено шифрование, что позволяет обойти средства обнаружения.

Разработчик отвергает обвинения — по его словам, функция фонового создания скриншотов является частью «сканирования безопасности», предназначенного для обнаружения угроз. Он заявил, что скриншоты не сохраняются, а лишь анализируются инструментами искусственного интеллекта, однако не предоставил проверяемого способа подтвердить это.

По данным Koi Security, дальнейшая проверка издателя расширения не подтвердила его легитимность. Домен, связанный с контактным адресом электронной почты разработчика, ведёт на страницу, лишённую какой-либо вменяемой информации или прозрачности. Сообщается, что после первоначального ответа на вопросы Koi Security разработчик прекратил общение с исследователями. Расширение FreeVPN.One всё ещё доступно в интернет-магазине Chrome, сохраняя верифицированный статус.

Расширение в интернет-магазине Chrome

Трудно однозначно сказать, присутствовал ли в действиях разработчика злой умысел, или он просто пытался таким рискованным способом реализовать систему безопасности. В любом случае, пользователям, загрузившим это расширение, рекомендуется удалить его из браузера и сменить пароли для всех посещённых сервисов.

Сразу после анонса функция Recall в Windows 11 вызвала волну критики от экспертов по конфиденциальности и защите данных. Recall постоянно делает скриншоты экрана и сохраняет их, даже если они содержат конфиденциальные данные. Запуск Recall был отложен, а Microsoft сообщила о её доработке. Но исследователи The Register утверждают, что Recall «по-прежнему может захватывать данные кредитных карт и пароли — настоящий клад для мошенников».

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Источник изображений: Microsoft

Microsoft интегрировала в Recall фильтр для распознавания ввода или отображения чувствительных данных и предотвращения создания их скриншотов, но пытливым умам сотрудников The Register удалось его обойти. Они выяснили, что Recall может делать скриншоты текущего баланса счетов, отображаемого на экране, избегая только данных для входа. «Таким образом, злоумышленник будет знать, услугами какого банка я пользуюсь и сколько у меня денег […], но не мои учётные данные или номер счёта», — сообщили исследователи.

В ходе тестирования Recall иногда сохраняла данные кредитной карты, а иногда — нет. Функция надёжно распознала вводимые пароли и не записала их, но создала скриншоты файла с паролями. Очевидно, что Recall не всегда распознает, когда на экране отображаются пароли, и, следовательно, может их записывать. При входе в PayPal Recall сохранила скриншот экрана входа с именем пользователя, но без пароля.

Исследователи The Register пришли к выводу, что, несмотря на все улучшения и доработки Microsoft, функция Windows Recall по-прежнему испытывает трудности с надёжным распознаванием конфиденциальных данных. Они полагают, что фильтрация конфиденциальной информации в Recall «хорошая, но недостаточная».

Следует отметить, что Windows Recall хранит скриншоты в зашифрованном виде, поэтому посторонним лицам достаточно сложно их просмотреть. Тем не менее, чтобы избежать потенциальной утечки конфиденциальных данных, следует отключить Windows Recall и полностью исключить риски.