Siber güvenlik alanında faaliyet gösteren Koi Security, Chrome Web Store’da 100 binden fazla kez indirilmiş ve doğrulama rozeti taşıyan “FreeVPN.One” isimli VPN uzantısının, kullanıcıların tarayıcı etkinliklerine ait ekran görüntülerini izinsiz alarak uzak sunuculara gönderdiğini bildirdi.
Bunun yanı sıra, uzantının cihaz parmak izi çıkarma ve konum izleme gibi işlemler de gerçekleştirdiği belirtildi. “Cihaz parmak izi çıkarma”, bir kullanıcının cihazına dair teknik verilerin toplanarak cihaza özgü bir “dijital parmak izi” oluşturulması anlamına geliyor.
Google, eklentiyi henüz mağazadan kaldırmamış durumda.
Koi Security araştırmacısı Lotan Sery, yayımlanan raporda “FreeVPN.One, gizlilik iddialarının nasıl bir tuzağa dönüşebileceğinin çarpıcı bir örneği” yorumunu yaptı.
Rapor, Chrome’un daha yeni sürümlerinin otomatik tarama, insan denetimi ve kötü amaçlı davranışları izleme gibi güvenlik önlemleri uygulamasına rağmen, bu sistemlerde önemli açıkların bulunduğunu gösteriyor.
GİZLİ EKRAN GÖRÜNTÜLERİ
Yapılan araştırmaya göre, ilgili eklenti her sayfa yüklendikten yaklaşık bir saniye sonra “chrome.tabs.captureVisibleTab()” mekanizması aracılığıyla ekran görüntüsü alıyor ve bunları sayfa URL’si, sekme kimliği, kullanıcıya özgü tanımlayıcılar gibi meta verilerle birlikte geliştiricinin kayıtlı olduğu “aitd[.]one” alan adına iletiyor. Bu işlem, kullanıcıya herhangi bir uyarı verilmeden arka planda gerçekleşiyor.
Veriler ilk etapta şifrelenmeden transfer edilirken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümünde şifreleme eklenerek tespit edilmesi zorlaştırıldı.
Koi Security, eklentinin geliştirme sürecindeki önemli dönüm noktalarını şöyle sıraladı:
– Nisan 2025 (v3.0.3): Genişletilmiş izinlerin talep edilmesine rağmen henüz casusluk faaliyetleri başlamadı.
– Haziran 2025 (v3.1.1): “Yapay Zeka Tehdit Tespiti” markalaması eklendi ve içerik kodları tüm siteye yayıldı.
– 17 Temmuz 2025 (v3.1.3): Casusluk özelliği devreye alındı; ekran görüntüsü almak, cihaz parmak izi çıkarmak ve konum izlemek gibi işlemler başladı.
– 25 Temmuz 2025 (v3.1.4): Veri sızdırma işlemleri şifrelenerek gizlendi.
“POLİTİKALARA TAMAMEN UYUMLU”
FreeVPN.One geliştiricisi, eklentinin “Chrome Web Store politikalarına tamamen uyumlu” olduğunu savunarak, ekran görüntüsü alma özelliğinin gizlilik politikasında belirtildiğini öne sürdü. Söz konusu işlevin yalnızca “şüpheli alan adları” için devreye giren bir güvenlik taraması olduğunu iddia etti.
Ancak Koi Security, Google Sheets gibi sayfalardan da ekran görüntüleri alınmasını belgeleyerek bu iddiayı çürüttü.
Geliştirici, ekran görüntülerinin kaydedilmediğini, yalnızca yapay zeka araçlarıyla tehdit analizi için kullanıldığını savunsa da bunu doğrulayacak herhangi bir delil sunamadı. Araştırmacılar, geliştirici ile iletişimin sonrasında tamamen kesildiğini aktardı.
Koi Security’nin ek araştırmaları, eklenti yayıncısının “phoenixsoftsol.com” alan adına bağlı olduğunu gösterirken, bu alan adının bir Wix sayfası olduğu ve şirket bilgisi içermediği belirlendi.
NE YAPMALI?
Google’a eklentinin mağazadan kaldırılıp kaldırılmayacağına dair bir soru yöneltildi, ancak araştırmacılara henüz yanıt verilmedi.
Uzmanlar, eklentiyi kullanmış olan kişilere, Chrome üzerinden eriştikleri tüm hesapların şifrelerini değiştirmelerini ve yalnızca bağımsız denetimlerden geçmiş, şeffaf gizlilik politikalarına sahip VPN sağlayıcılarını tercih etmelerini öneriyor.
