Siber güvenlik şirketi Koi Security, Chrome Web Store’da 100 binden fazla defa indirilen ve doğrulama rozeti taşıyan “FreeVPN.One” isimli VPN eklentisinin kullanıcıların tarayıcı aktivitelerinin ekran manzaralarını müsaadesiz biçimde alıp uzak sunuculara gönderdiğini ortaya çıkardı.
Ayrıca aygıt parmak izi çıkarma ve pozisyon izleme üzere faaliyetlerin de gerçekleştiği belirtildi. “Cihaz parmak izi çıkarma” (device fingerprinting), bir kullanıcının aygıtına ilişkin teknik özelliklerin toplanıp aygıta has “dijital parmak izi” yahut bir kimlik olarak kullanılması manasına geliyor.
Google ise şimdi eklentiyi mağazadan kaldırmış değil.
Koi Security araştırmacısı Lotan Sery, yayınlanan raporda “FreeVPN.One, zımnilik telaffuzunun nasıl bir tuzağa dönüştürülebileceğinin çarpıcı bir örneği” tabirlerini kullandı.
Rapor, Chrome’un yeni sürümlerde otomatik tarama, insan kontrolü ve makûs emelli davranışları izleme üzere güvenlik denetimleri uygulamasına karşın, bu sistemlerin önemli açıklar barındırdığını gösteriyor.
GİZLİ EKRAN GÖRÜNTÜLERİ
Araştırmaya nazaran eklenti, her sayfa yüklendikten yaklaşık bir saniye sonra “chrome.tabs.captureVisibleTab()” düzeneği üzerinden ekran manzarası alıyor ve bunları sayfa URL’si, sekme kimliği, kullanıcıya has tanımlayıcılar üzere meta datalarla birlikte geliştiricinin kayıtlı olduğu “aitd[.]one” alan ismine gönderiyor. Bu süreç kullanıcıya rastgele bir bildirim gösterilmeden art planda gerçekleşiyor.
İlk başta bilgiler şifrelenmeden aktarılırken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümünde şifreleme eklenerek tespiti zorlaştırıldı.
Koi Security, eklentinin geliştirme sürecindeki kritik dönüm noktalarını şöyle sıraladı:
– Nisan 2025 (v3.0.3): Genişletilmiş müsaadeler talep edildi, lakin şimdi casusluk faaliyeti yoktu.
– Haziran 2025 (v3.1.1): “Yapay Zeka Tehdit Tespiti” markalaması eklendi, içerik kodları tüm sitelere genişletildi.
– 17 Temmuz 2025 (v3.1.3): Casusluk özelliği devreye girdi; ekran imgesi alma, aygıt parmak izi çıkarma ve pozisyon izleme başladı.
– 25 Temmuz 2025 (v3.1.4): Data sızdırma süreçleri şifrelenerek gizlendi.
“POLİTİKALARA BÜSBÜTÜN UYUMLU”
FreeVPN.One geliştiricisi, eklentinin “Chrome Web Store siyasetlerine büsbütün uyumlu” olduğunu ve ekran manzarası alma özelliğinin saklılık siyasetinde belirtildiğini savundu. Ayrıyeten bu fonksiyonun sırf “şüpheli alan adları” için devreye giren bir güvenlik taraması olduğunu öne sürdü.
Ancak Koi Security, Google Sheets ve bankacılık siteleri üzere emniyetli sayfalardan da ekran manzarası alındığını belgeleyerek bu iddiayı çürüttü.
Şirket ayrıyeten ekran imgelerinin depolanmadığını, sadece yapay zeka araçlarıyla tehdit tahlili için kullanıldığını argüman etti lakin bunu doğrulayacak rastgele bir delil sunmadı. Araştırmacılar, geliştiriciyle irtibatın daha sonra büsbütün kesildiğini aktardı.
Koi Security’nin ek araştırmaları, eklenti yayıncısının “phoenixsoftsol.com” alan ismine bağlı olduğunu lakin bunun fiyatsız bir Wix sayfası olduğunu ve rastgele bir şirket bilgisi içermediğini ortaya çıkardı.
NE YAPMALI?
Google’a eklentinin mağazadan kaldırılıp kaldırılmayacağı soruldu lakin araştırmacılar şirkete ulaşamadı.
Uzmanlar, eklentiyi kullanmış şahısların Chrome üzerinden eriştikleri tüm hesapların şifrelerini değiştirmelerini ve sırf bağımsız kontrollerden geçmiş, şeffaf kapalılık siyasetlerine sahip VPN sağlayıcılarını tercih etmelerini tavsiye ediyor.
