Thought Leadership
Eine als VPN-Dienst beworbene Chrome-Erweiterung sammelt offenbar heimlich Bildschirmaufnahmen ihrer Nutzer und sendet diese an externe Server. Das geht aus einer Untersuchung von Koi Security hervor, die das Vorgehen der Software FreeVPN.One detailliert analysiert haben.
FreeVPN.One, das sich als “schnellstes kostenloses VPN für Chrome” bewirbt, 100.000 Installationen vorweist und von Google mit dem begehrten “Featured”-Badge ausgezeichnet wurde, erstellt unbemerkt Screenshots aller besuchten Websites und sendet diese an einen Server unter der Kontrolle anonymer Entwickler.
Weitreichende Berechtigungen ermöglichen Datensammlung
Anders als reguläre VPN-Tools fordert FreeVPN.One verdächtig umfangreiche Systemzugriffe an. Die Kombination der Berechtigungen “tabs” und “scripting” ermöglicht es der Software, Code in jede aufgerufene Webseite einzubetten. Wenige Sekunden nach dem Seitenaufruf wird automatisch ein Screenshot erstellt und zusammen mit URL, Tab-Kennung und Nutzer-ID an die Adresse aitd[.]one/brange.php übermittelt.
Der gesamte Vorgang läuft vollständig im Hintergrund ab, ohne dass Nutzer eine entsprechende Benachrichtigung erhalten oder den Prozess bemerken könnten.
Datenschutzerklärung mit Schlupflöchern
Zwar erwähnt die Datenschutzerklärung von FreeVPN.One die Möglichkeit von Screenshots, jedoch sollen diese nur erstellt werden, wenn Nutzer das sogenannte “AI Threat Detection Feature” explizit aktivieren. In einem anderen Abschnitt heißt es jedoch widersprüchlich: “Wir verwenden anonymisierte Nutzungsdaten zum Aufbau unserer Threat-Intelligence-Datenbank – unabhängig davon, ob der KI-Schutz aktiviert ist oder nicht.”
Koi Security konnte zudem nachweisen, dass die Datenschutzrichtlinien in den vergangenen Monaten mehrfach überarbeitet wurden. Eine Version vom 20. Juni enthielt weder den Abschnitt über die anonymisierten Nutzungsdaten noch den Hinweis auf den Beta-Status des Systems. Auch fehlte jegliche Angabe zum Betreiber der Extension.
Anonyme Entwickler ohne Legitimation
Die Identität der Verantwortlichen bleibt im Dunkeln. Als einziger Hinweis dient eine E-Mail-Adresse, deren Domain zu einer provisorisch wirkenden Wix-Website von “Phoenix Software Solutions” weiterleitet. Auf Anfragen von Koi Security nach Legitimationsnachweisen wie Firmenprofil, GitHub-Account oder LinkedIn-Seite reagierten die Entwickler nicht mehr.
Schleichende Transformation zur Spyware
Die Analyse zeigt eine besorgniserregende Entwicklung zwischen April und Juli: Aus einer ursprünglich harmlosen VPN-Extension wurde schrittweise ein umfassendes Überwachungsinstrument. Während VPN-Dienste üblicherweise nur Proxy- und Speicher-Zugriffe benötigen, sammelt FreeVPN.One deutlich mehr Informationen.
Vertrauen als kritischer Faktor
Security-Experten raten Nutzern, FreeVPN.One umgehend zu deinstallieren und auf etablierte VPN-Anbieter mit transparenter Unternehmensstruktur ausweichen. Bei der Auswahl von Browser-Extensions ist grundsätzlich Vorsicht geboten: Auch das “Featured”-Badge von Google bietet offenbar keinen ausreichenden Schutz vor datenschutzrechtlich bedenklichen Praktiken.
