近期,知名的 Google Chrome VPN 擴展程式 FreeVPN.One 被揭露為一場嚴重的安全噩夢。根據 Koi Security 的調查,這款擁有超過 10 萬次安裝的擴展程式竟在用戶毫不知情的情況下,偷偷截取用戶訪問的每個網頁的熒幕截圖,並將這些數據傳送至一個由匿名開發者控制的域名。
FreeVPN.One 以其宣稱的「最快速的免費 VPN」以及 Google 的「推薦」徽章吸引了大量用戶。然而,Koi Security 發現該擴展程式要求了不必要的過多權限,包括「tabs」與「scripting」權限,這使其能夠在用戶瀏覽的每個網頁中嵌入腳本,進一步進行數據蒐集。調查顯示,這些截圖會與網頁 URL、標籤 ID 及用戶唯一識別碼一併傳送,且完全沒有任何提示通知用戶。
雖然 FreeVPN.One 的隱私政策提到,開啟「AI 威脅檢測功能」後可能會截取熒幕截圖,但 Koi Security 的報告指出,即使用戶未啟用該功能,數據蒐集仍在默默進行。此外,該隱私政策近期進行了修改,刪除了與匿名數據收集相關的聲明,進一步引發人們對其透明度和誠信的質疑。
FreeVPN.One 的開發者目前身份不明,唯一的聯繫方式是一個指向 Phoenix Software Solutions 的域名,但該網頁看似並不可信。Koi Security 的報告還披露,FreeVPN.One 自 4 月起逐步從一款表面無害的 VPN 工具演變為侵害隱私的擴展程式。專家強調,用戶在選擇 VPN 服務時應慎重考慮,特別是由匿名開發者運營的免費工具。這次事件再次提醒我們,安全和隱私的保障往往需要以信任為基礎,信任一個不透明的開發者很可能帶來高昂的代價。
