Бесплатный VPN-сервис, поддерживаемый Google, тайно делал снимки экранов пользователей

Исследователи Koi Security обнаружили, что популярное расширение для браузера FreeVPN.One, получившее официальную верификацию от Google, без согласия пользователей делало скриншоты на их устройствах и отправляло их на сторонние сервера. Под угрозой сохранность данных более 100 тысяч пользователей сервиса: на полученных таким образом скриншотах может содержаться чувствительная информация, в том числе пароли, банковские данные, частные переписки и фотографии.

Помимо снимка экрана, расширение также сохраняет адрес просматриваемой страницы и уникальный ID пользователя. Скрипт активируется автоматически сразу после загрузки каждой страницы.

В пользовательском соглашении эта информация не раскрывается. Загрузка скриншотов просматриваемой страницы на сервер проекта, согласно документу, возможна только при включении функции «Проверить с помощью ИИ распознавания угроз», и позиционируется как единоразовое действие, которое активируется нажатием соответствующей кнопки. В действительности же расширение передавало данные пользователей в фоновом режиме постоянно, вне зависимости от использования этой функции.

Инструменты, фактически позволяющие следить за пользователями, появились в обновлениях, введённых с апреля по июль 2025 года. Ранее подобный функционал в расширении отсутствовал.

В ответе на запрос от Koi Security разработчик расширения заявил, что фоновое «сканирование» страниц запускается в случаях, когда пользователь открывает подозрительный домен с целью предотвращения угроз. В действительности же исследователи обнаружили, что расширение делало снимки экрана при использовании, например, Google Таблиц или фотографий — проверенных и безопасных сервисов, которые не могли быть отмечены как «подозрительные».

Разработчик также утверждает, что полученные данные не хранятся и не используются сервисом, а лишь поверхностно анализируются на предмет наличия потенциальных угроз. Однако это утверждение невозможно проверить, поскольку скриншоты передаются на сторонний сервер.

После запроса на верификацию данных компании, поддерживающей расширение, разработчик перестал отвечать на сообщения. Домен, связанный с его электронной почтой, создан на бесплатном конструкторе Wix, а на сайте не содержится никаких данных, указывающих на существование реального юридического лица.