网络安全公司Koi Security披露,一款安装量超过10万次的热门谷歌Chrome扩展程序持续截取用户访问的所有网站画面,并将截图发送给该软件匿名开发者控制的域名。涉事扩展程序FreeVPN.One自称是“Chrome上速度最快的免费VPN”,并炫耀着谷歌授予“特色扩展”徽章——该徽章仅颁发给“遵循技术最佳实践且达到高标准用户体验与设计”的扩展。但事实证明,FreeVPN.One数月来一直在侵害用户隐私。
“虽然VPN扩展确实需要代理和存储等权限来实现核心功能,”Koi Security指出,“但该扩展要求获取更多能实现广泛数据收集的权限。”该公司识别出三项关键权限——标签页与脚本权限——使得FreeVPN能够向用户访问的每个网站注入脚本。“页面加载完成数秒后,后台触发器就会截取屏幕截图并将其发送至aitd[.]one/brange.php,同时捆绑发送页面URL、标签页ID和唯一用户标识符,”报告解释道,“无需用户操作,没有界面提示,截图在后台悄然完成。”
FreeVPN.One的隐私政策确实承认可能对用户访问页面进行截图,但声明仅当用户启用所谓AI威胁检测功能时才会激活——通过该功能,“快照(截图)及相关页面信息(如URL和可见页面内容)将从您的浏览器传输至我们的安全服务器,若适用还会传输至经审查的分析合作伙伴。”这暗示FreeVPN.One仅在用户选择启用AI威胁检测功能时才会启动数据收集功能……但开发者在另一段落中又声称“无论是否启用AI保护功能,我们都会使用匿名化使用数据构建威胁情报数据库”,这与Koi Security的发现相符。
该政策近期经历了变动。6月20日的政策版本缺失了关于匿名化使用数据的章节,以及“该系统处于测试阶段,按‘现状’提供而不作任何明示或暗示的担保,包括但不限于准确性、可靠性或特定用途适用性”的声明。同时消失的还有声明FreeVPN.One由CMO Ltd公司运营的页首信息。政策全文未提及扩展运营方身份;唯一线索来自谷歌提供的开发者联系邮箱。与该邮箱关联的域名会跳转至名为Phoenix Software Solutions的页面,实在难以令人安心。
Koi Security的报告详细记录了FreeVPN.One从今年4月至7月期间如何从看似无害的VPN逐步蜕变为侵犯隐私的扩展,并总结了与软件开发者的沟通经过(当研究人员要求提供“合法性证明,如公司简介、GitHub账户或LinkedIn页面”时,对方立即停止了回应)。
VPN服务商常常对其服务的隐私保护与安全效益做出荒谬承诺。值得牢记的是:使用这些服务需要对运营组织抱有高度信任;而这种信任显然不应该托付给一个由匿名开发者运营、会截取用户所有访问页面画面的免费Chrome扩展程序。
