Chrome-extensie FreeVPN.One stuurt screenshots van gebruikers door

spionage

Onderzoekers ontdekten dat de Chrome-extensie FreeVPN.One gebruikers heimelijk spioneert.

FreeVPN.One, een populaire VPN-extensie voor Google Chrome met meer dan 100.000 installaties, blijkt gebruikers stiekem te bespioneren, dat merkten onderzoekers van beveiligingsbedrijf Koi Security op. Ondanks een geverifieerde badge (die gebruikers een gevoel van vertrouwen geeft) en prominente plaatsing in de Chrome Web Store, maakt de extensie screenshots van bezochte websites. Vervolgens worden deze schermafbeeldingen naar externe servers verzonden, zonder medeweten van gebruikers.

Onzichtbare screenshots

De extensie installeert een script dat automatisch op elke website wordt geïnjecteerd. Kort nadat een pagina is geladen, triggert het script een interne oproep om een screenshot te maken van het actieve tabblad. Die afbeelding wordt vervolgens, samen met informatie zoals de url en een unieke gebruikers-ID, naar een externe server gestuurd via het domein aitd.one.

Gebruikers krijgen op geen enkel moment een waarschuwing of visueel signaal dat dit gebeurt. De schermafbeeldingen worden bovendien niet alleen verzameld wanneer gebruikers de functie ‘Scannen met AI Threat Detection’ activeren maar al veel eerder, bij elk websitebezoek. Dat betekent dat gevoelige informatie zoals bankgegevens, privéfoto’s en bedrijfsdocumenten mogelijk is vastgelegd.

Controlemechanismen

FreeVPN.One was jarenlang actief in de Chrome Web Store zonder dat het malafide gedrag werd opgemerkt. De spionage begon vermoedelijk in versie 3.1.3, die op 17 juli 2025 werd uitgerold. Toen werd het screenshotmechanisme geactiveerd en de data-exfiltratie richting aitd.one gestart. Enkele weken later, in versie 3.1.4, werd de versleuteling toegevoegd en het verkeer omgeleid naar een nieuw subdomein om detectie verder te bemoeilijken.

Google voert volgens eigen zeggen geautomatiseerde en handmatige controles uit op extensies in de Chrome Web Store. In dit geval bleken die controles onvoldoende. Ondanks de ingrijpende wijziging in het gedrag van de extensie bleef FreeVPN.One geverifieerd en goed zichtbaar voor nieuwe gebruikers.