Eklentinin, tarayıcı üzerinden gerçekleştirilen aktiviteleri kullanıcıdan habersiz şekilde izlediği vurgulandı.
Cihaz bilgileri ve konum verileri de toplanıyor
Koi Security’nin analizine göre, eklenti sadece ekran görüntüsü toplamakla kalmıyor; aynı zamanda cihaz parmak izi oluşturma ve konum izleme işlemleri de gerçekleştiriyor. Cihaz parmak izi çıkarma yöntemi, kullanıcının tarayıcı ve donanım bilgileri gibi çeşitli teknik özelliklerinin toplanarak benzersiz bir kimlik oluşturulması anlamına geliyor.
Google mağazadan henüz kaldırmadı
NTV’nin aktardığına göre eklenti, Chrome Web Mağazası’nda doğrulanmış bir hesap tarafından sunulmuş olmasına rağmen, Google tarafından henüz yayından kaldırılmış değil. Konuyla ilgili olarak şirketten herhangi bir açıklama yapılmadı.
Eklenti ekran görüntüsünü arka planda alıyor
Araştırmada, eklentinin “chrome.tabs.captureVisibleTab()” komutu aracılığıyla her sayfa yüklendikten yaklaşık bir saniye sonra ekran görüntüsü aldığı belirlendi. Bu görüntüler; sayfa adresi, sekme kimliği ve kullanıcıya özel tanımlayıcılarla birlikte “aitd[.]one” alan adına gönderiliyor. İşlem sırasında kullanıcıya herhangi bir bildirim yapılmıyor.
Şifreleme yöntemiyle tespit edilmesi zorlaştırıldı
İlk olarak şifresiz şekilde aktarılan veriler, 25 Temmuz 2025 tarihinde yayınlanan v3.1.4 sürümü ile şifrelenerek gönderilmeye başlandı. Bu değişiklikle birlikte eklentinin kötü amaçlı faaliyetlerinin tespit edilmesi daha güç hale geldi.
Gelişim sürecinde casusluk faaliyetleri dikkat çekti
Koi Security, eklentinin sürüm geçmişini analiz ederek aşağıdaki kritik tarih ve değişiklikleri raporladı:
-Nisan 2025 (v3.0.3): Genişletilmiş izinler talep edildi, ancak herhangi bir veri toplama faaliyeti gözlenmedi.
-Haziran 2025 (v3.1.1): Yapay zeka tabanlı tehdit tespiti ifadesi eklendi ve erişim tüm sitelere genişletildi.
-17 Temmuz 2025 (v3.1.3): Ekran görüntüsü alma, cihaz parmak izi çıkarma ve konum izleme işlemleri başlatıldı.
-25 Temmuz 2025 (v3.1.4): Veri iletimine şifreleme eklendi.
Geliştirici ekran görüntülerini savundu
FreeVPN.One eklentisinin geliştiricisi, ekran görüntüsü alma özelliğinin eklentinin gizlilik politikasında belirtildiğini ve yalnızca “şüpheli alan adlarında” aktif hale geldiğini savundu. Ayrıca eklentinin Chrome Web Mağazası politikalarına tamamen uygun olduğu ifade edildi.
Güvenilir sayfalardan da veri alındığı belgelendi
Koi Security’nin araştırmasına göre, eklenti yalnızca riskli olarak nitelendirilen sitelerde değil, Google Sheets ve çeşitli bankacılık uygulamaları gibi güvenilir sayfalarda da ekran görüntüsü aldı. Bu durum geliştiricinin iddialarını geçersiz kıldı.
Ekran görüntülerinin yapay zeka ile analiz edildiği iddia edildi
Geliştirici tarafı, alınan ekran görüntülerinin yapay zeka sistemleri aracılığıyla tehdit analizi amacıyla kullanıldığını öne sürdü. Ancak bu iddiayı destekleyecek herhangi bir teknik kanıt sunulmadı. Koi Security, geliştiriciyle daha sonra iletişim kuramadıklarını da belirtti.
Yayıncının kimliği belirsiz
Araştırmacılar, eklentinin bağlı olduğu “phoenixsoftsol.com” alan adının ücretsiz bir Wix hizmeti üzerinden oluşturulduğunu ve herhangi bir şirket bilgisi içermediğini ortaya çıkardı.
Uzmanlar şifrelerin değiştirilmesini öneriyor
Uzmanlar, FreeVPN.One eklentisini kullanmış olan kişilerin tarayıcı üzerinden giriş yaptıkları tüm hesapların şifrelerini değiştirmeleri gerektiğini belirtti. Ayrıca kullanıcıların yalnızca bağımsız denetimlerden geçmiş ve şeffaf gizlilik politikalarına sahip VPN servislerini tercih etmeleri tavsiye edildi.
News
