Güvenlik alanında faaliyet gösteren bir platform, 100.000'den fazla kullanıcı tarafından yüklenmiş popüler bir Google Chrome eklentisinin, kullanıcıların ziyaret ettiği her web sitesinin ekran görüntüsünü aldığını ve bunları anonim bir geliştirici tarafından kontrol edilen bir alana gönderdiğini ortaya çıkardı. Bu durum, gizlilik endişelerini ciddi şekilde artırıyor.
Söz konusu eklenti olan FreeVPN.One, kendisini "Chrome için en hızlı ücretsiz VPN" olarak tanıtıyor ve Google tarafından "teknik en iyi uygulamaları takip eden ve yüksek kullanıcı deneyimi ile tasarım standartlarını karşılayan" eklentilere verilen "Öne Çıkan" rozetine sahip. Ancak yapılan incelemeler, FreeVPN.One'ın aylardır kullanıcılarının gizliliğini ihlal ettiğini gösteriyor.
Güvenlik platformu tarafından yapılan açıklamada, VPN eklentilerinin temel işlevsellik için proxy ve depolama gibi izinlere ihtiyaç duyduğu belirtilirken, "Bu eklentinin daha geniş veri toplama imkanı sağlayan ek izinler talep ettiği" vurgulanıyor. Eklentinin, kullanıcıların ziyaret ettiği her web sitesine bir betik enjekte etmesine olanak tanıyan "sekme" ve "betikleme" izinlerini istediği tespit edilmiş. Raporlara göre, herhangi bir sayfa yüklendikten saniyeler sonra, arka planda tetiklenen bir mekanizma, sayfanın URL'si, sekme kimliği ve benzersiz bir kullanıcı tanımlayıcısı ile birlikte ekran görüntüsü alıp ait olduğu sunucuya gönderiyor. Kullanıcının herhangi bir eylemi veya bilgilendirmesi olmadan, bu ekran görüntüleri arka planda sessizce alınıyor.
FreeVPN.One'ın gizlilik politikası, kullanıcıların ziyaret ettiği sayfaların ekran görüntülerini alabileceğini belirtiyor. Ancak bu durumun, kullanıcıların yapay zeka tehdit algılama özelliğini etkinleştirmesi durumunda geçerli olması gerektiği ifade ediliyor. Bu özellik sayesinde, "bir anlık görüntü (ekran görüntüsü) ve ilgili sayfa bilgileri (URL ve görünür sayfa içeriği gibi) tarayıcınızdan güvenli sunucularımıza ve uygun olduğunda, denetlenen analiz ortaklarımıza iletilir."
Bu açıklamalar, FreeVPN.One'ın yalnızca kullanıcılar yapay zeka tehdit algılama özelliğini tercih ettiğinde veri toplama özelliklerini etkinleştirmesi gerektiğini düşündürüyor. Ancak geliştiricinin başka bir paragrafta, "Yapay Zeka Koruması etkin olsun ya da olmasın, tehdit istihbaratı veritabanımızı oluşturmak için anonimleştirilmiş kullanım verilerini kullanıyoruz" demesi, yapılan incelemelerle uyumlu. Ayrıca, gizlilik politikasında yapılan son değişiklikler de dikkat çekiyor. Yapılan incelemelerde, kısa bir süre önceki bir politika kopyasında anonimleştirilmiş kullanım verilerine ilişkin bölümün yanı sıra "Bu sistem betiktedir ve herhangi bir türde, açık veya zımni garanti olmaksızın 'olduğu gibi' sağlanır, doğruluk, güvenilirlik veya belirli bir amaca uygunluk dahil ancak bunlarla sınırlı olmamak üzere" gibi ifadelerin bulunmadığı görülüyor.
Eklentinin kim tarafından işletildiğine dair tek ipucu, Google'ın geliştiriciyle iletişime geçmek için sağladığı e-posta adresi aracılığıyla ortaya çıkıyor. Bu e-postayla ilişkili alan adı, Phoenix Software Solutions'a yönlendiren bir sayfaya erişim sağlıyor. Bu durum, güvenilirlik açısından pek de iç açıcı bir tablo sunmuyor.
Yapılan raporlar, FreeVPN.One'ın Nisan ve Temmuz ayları arasında masum bir VPN hizmetinden gizliliği ihlal eden bir eklentiye doğru olan yavaş geçişini ve şirketin yazılım geliştiricisiyle olan etkileşimlerinin bir özetini de içeriyor. Araştırmacılar, geliştiriciye "şirket profili, GitHub hesabı veya LinkedIn sayfası gibi meşruiyet kanıtları" sorduktan sonra iletişimi kestiği belirtiliyor.
VPN sağlayıcıları, hizmetlerini kullanmanın gizlilik ve güvenlik faydaları hakkında genellikle abartılı iddialarda bulunurlar. Bu hizmetleri kullanmanın, onları sağlayan kuruluşlara büyük ölçüde güvenmeyi gerektirdiğini unutmamak önemlidir. Böyle bir güven, her sayfanın ekran görüntüsünü alan, bilinmeyen bir geliştirici tarafından işletilen ücretsiz bir Chrome eklentisine yerleştirilmek yerine, daha güvenilir yerlere yönlendirilmelidir.
