Ein beliebtes Chrome-Add-on, das Interessierten kostenlose VPN-Unterstützung (Virtual Private Network) bietet, nimmt offenbar ohne Wissen oder Zustimmung des Nutzers im Hintergrund Screenshots aller besuchten Websites auf und sendet diese Bilder dann an einen Server, der von einem unbekannten Entwickler genutzt wird. Die fragliche Erweiterung heißt FreeVPN.One und hat eine große Nutzerbasis mit über 100 000 Nutzern, aber es liegen keine Informationen darüber vor, wie viele Menschen sie regelmäßig nutzen.
Die mysteriöse Backend-Funktion von FreeVPN.One wurde kürzlich von der Sicherheitsfirma Koi Security entdeckt. Das fragliche Plugin wurde außerdem mit dem Google Featured Badge ausgezeichnet, was darauf hindeutet, dass es sich um eine zuverlässige Lösung handelt, die den technischen Richtlinien von Google entspricht und ein hohes Maß an Design und Benutzerfreundlichkeit bietet. Möglicherweise war zum Zeitpunkt der Verleihung dieses Abzeichens noch alles in Ordnung mit der Software, denn laut Koi Security wurden zwischen April und Juli Änderungen am Schutz der Nutzerdaten vorgenommen, die dazu führten, dass im Hintergrund automatisch ein Screenshot der besuchten Websites angefertigt wurde, ohne dass die Nutzer davon wussten oder damit einverstanden waren.
VPN-Plug-ins benötigen in der Regel bestimmte Berechtigungen, um zu funktionieren, wie z. B. Proxy- und Repository-Zugriff, aber die aktuelle Software benötigt auch andere Berechtigungen, um auf Browser-Tabs zuzugreifen und Skripte in den Code jeder vom Benutzer besuchten Webseite zu injizieren. Die Funktionalität ist vollautomatisch: Innerhalb von Sekunden nach dem Laden der Webseite wird ein Screenshot erstellt und zusammen mit der URL der besuchten Webseite, der ID der Browser-Registerkarte und einer eindeutigen Benutzer-ID an einen vom Entwickler kontrollierten Server gesendet. Dieser Vorgang läuft völlig automatisch im Hintergrund ab, ohne dass der Nutzer davon etwas mitbekommt.
In der FreeVPN.One-Dokumentation heißt es, dass FreeVPN.One Screenshots von den besuchten Webseiten anfertigen kann. Dies sollte jedoch nur funktionieren, wenn die KI-Bedrohungserkennung aktiviert ist, und Tests zeigen, dass diese Datensammlung auch dann stattfindet, wenn der Benutzer diese Option nicht aktiviert hat. Später, in einem anderen Absatz, wird erwähnt, dass der Entwickler anonymisierte Nutzungsdaten sammeln kann, um den Dienst zu verbessern und seine Datenbank zu vergrößern, aber diese Option ist immer aktiv, wie von Koi Security aufgezeigt wird.
Das einzige Problem ist, dass die Dokumentation vom 20. Juni diese Klausel nicht enthielt, sie wurde nachträglich hinzugefügt und die Nutzer wurden nicht informiert oder gefragt, ob sie die Erweiterung weiterhin nutzen wollen.
Die Identität des Entwicklers wurde nicht festgestellt, so dass nicht genau bekannt ist, wohin die vermeintlich anonymisierten Daten gehen und zu welchem Zweck, aber dies ist eine besorgniserregende Situation, insbesondere für einen VPN-Dienst, der ein hohes Maß an Vertrauen erfordert. Die Untersuchung hat ergeben, dass das Add-on von einer Firma namens COM Ltd. betrieben wird und dass der Entwickler oder das Entwicklerteam nicht mehr auf Anfragen von Sicherheitsforschern reagiert. Dieses Add-on hat sich in den letzten Monaten langsam von einer auf Datenschutz ausgerichteten Software zu einem Add-on gewandelt, das Benutzerdaten bedroht. Einmal mehr bewahrheitet sich das Sprichwort: Es gibt nichts umsonst; wenn etwas scheinbar umsonst ist, muss man irgendwann in der einen oder anderen Form dafür bezahlen - in diesem Fall mit vertraulichen Benutzerdaten.
