A extensão FreeVPN.One para Google Chrome, que possui mais de 100 mil instalações, foi flagrada capturando secretamente screenshots de todos os sites visitados pelos usuários e enviando-os para um servidor anônimo. A descoberta foi feita pela empresa de segurança Koi Security, que expôs como essa VPN gratuita, supostamente protetora de privacidade, estava na verdade comprometendo gravemente os dados de seus usuários.
O FreeVPN.One se apresenta como “a VPN gratuita mais rápida para Chrome” e até ostenta um selo de “Destaque” concedido pelo Google, indicando que supostamente segue as melhores práticas técnicas e atende a um alto padrão de experiência do usuário. Contudo, a investigação revelou que, ao contrário do que promete, a extensão solicita permissões excessivas que permitem uma ampla coleta de dados pessoais.
“Enquanto extensões VPN legitimamente precisam de permissões como proxy e armazenamento para funcionalidades básicas, esta pede mais permissões que possibilitam uma coleta de dados abrangente”, explicou a Koi Security em seu relatório. Os pesquisadores identificaram um trio de permissões — guias, navegação e execução de scripts — que permitem ao FreeVPN.One injetar um script em cada site visitado pelo usuário.

O comportamento invasivo é alarmante: segundos após o carregamento de qualquer página, um gatilho em segundo plano captura uma screenshot e a envia para um domínio específico, junto com a URL da página, ID da guia e um identificador único do usuário. “Sem ação do usuário, sem aviso na interface, as capturas de tela são feitas em segundo plano sem que você jamais saiba”, alertam os pesquisadores.
A política de privacidade do FreeVPN.One até reconhece que pode capturar telas das páginas visitadas pelos usuários, mas afirma que isso só ocorreria se os usuários ativassem o chamado “Recurso de Detecção de Ameaças por IA”. Nesse caso, “um snapshot (screenshot) e informações relacionadas à página (como URL e conteúdo visível) são transmitidos do seu navegador para nossos servidores seguros e, se aplicável, para nossos parceiros de análise verificados”.
No entanto, a política contém uma contradição flagrante, pois em outro parágrafo o desenvolvedor afirma que “usa dados de uso anonimizados para construir nosso banco de dados de inteligência contra ameaças, esteja ou não a Proteção de IA ativada” — o que corresponde exatamente às descobertas da Koi Security.
A investigação também revelou que a política de privacidade foi alterada recentemente. Uma versão anterior de 20 de junho não continha a seção sobre dados anonimizados, nem a linha que isenta o serviço de garantias sobre precisão ou confiabilidade.
Outro ponto preocupante é a falta de transparência sobre quem opera a extensão. A política atual menciona uma empresa chamada CMO Ltd, informação que não existia na versão anterior. O único indício sobre o desenvolvedor vem do email fornecido ao Google, cujo domínio redireciona para uma página da Phoenix Software Solutions com a URL “https://domain146.wixsite.com/phoenixsoftsol” — algo que não inspira muita confiança.
O relatório da Koi Security inclui uma análise detalhada da transição do FreeVPN.One de uma aparentemente inofensiva VPN para uma extensão invasiva à privacidade entre abril e julho deste ano. Os pesquisadores também revelaram que o desenvolvedor parou de responder às consultas assim que lhe pediram “evidências de legitimidade, como um perfil de empresa, conta no GitHub ou página no LinkedIn”.
Esta situação serve como um lembrete importante de que provedores de VPN frequentemente fazem afirmações exageradas sobre os benefícios de privacidade e segurança de seus serviços. Usar esses serviços requer uma confiança significativa nas organizações que os fornecem — confiança que certamente estaria melhor depositada em outro lugar que não uma extensão gratuita para Chrome operada por um desenvolvedor desconhecido que captura a tela de cada página visitada por seus usuários.
Fonte: Tom’s Hardware
Você também pode gostar dos artigos abaixo:
VPN ou Proxy? Entenda de uma vez por todas as diferenças entre os dois tipos de conexão
