Siber güvenlik şirketi Koi Security, Chrome Web Store’da 100 binden fazla kez indirilen ve doğrulama rozeti taşıyan “FreeVPN.One” adlı VPN eklentisinin kullanıcıların tarayıcı aktivitelerinin ekran görüntülerini izinsiz biçimde alıp uzak sunuculara gönderdiğini ortaya çıkardı.



Ayrıca cihaz parmak izi çıkarma ve konum izleme gibi faaliyetlerin de gerçekleştiği belirtildi. “Cihaz parmak izi çıkarma” (device fingerprinting), bir kullanıcının cihazına ait teknik özelliklerin toplanıp cihaza özgü “dijital parmak izi” veya bir kimlik olarak kullanılması anlamına geliyor.



Google ise henüz eklentiyi mağazadan kaldırmış değil.

Koi Security araştırmacısı Lotan Sery, yayınlanan raporda “FreeVPN.One, gizlilik söyleminin nasıl bir tuzağa dönüştürülebileceğinin çarpıcı bir örneği” ifadelerini kullandı.



Rapor, Chrome’un yeni sürümlerde otomatik tarama, insan denetimi ve kötü amaçlı davranışları izleme gibi güvenlik kontrolleri uygulamasına rağmen, bu sistemlerin ciddi açıklar barındırdığını gösteriyor.



GİZLİ EKRAN GÖRÜNTÜLERİ



Araştırmaya göre eklenti, her sayfa yüklendikten yaklaşık bir saniye sonra “chrome.tabs.captureVisibleTab()” mekanizması üzerinden ekran görüntüsü alıyor ve bunları sayfa URL’si, sekme kimliği, kullanıcıya özgü tanımlayıcılar gibi meta verilerle birlikte geliştiricinin kayıtlı olduğu “aitd[.]one” alan adına gönderiyor. Bu işlem kullanıcıya herhangi bir bildirim gösterilmeden arka planda gerçekleşiyor.



İlk başta veriler şifrelenmeden aktarılırken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümünde şifreleme eklenerek tespiti zorlaştırıldı.

Koi Security, eklentinin geliştirme sürecindeki kritik dönüm noktalarını şöyle sıraladı:



- Nisan 2025 (v3.0.3): Genişletilmiş izinler talep edildi, ancak henüz casusluk faaliyeti yoktu.



- Haziran 2025 (v3.1.1): “Yapay Zeka Tehdit Tespiti” markalaması eklendi, içerik kodları tüm sitelere genişletildi.



- 17 Temmuz 2025 (v3.1.3): Casusluk özelliği devreye girdi; ekran görüntüsü alma, cihaz parmak izi çıkarma ve konum izleme başladı.



- 25 Temmuz 2025 (v3.1.4): Veri sızdırma işlemleri şifrelenerek gizlendi.



“POLİTİKALARA TAMAMEN UYUMLU”



FreeVPN.One geliştiricisi, eklentinin “Chrome Web Store politikalarına tamamen uyumlu” olduğunu ve ekran görüntüsü alma özelliğinin gizlilik politikasında belirtildiğini savundu. Ayrıca bu işlevin yalnızca “şüpheli alan adları” için devreye giren bir güvenlik taraması olduğunu öne sürdü.



Ancak Koi Security, Google Sheets ve bankacılık siteleri gibi güvenilir sayfalardan da ekran görüntüsü alındığını belgeleyerek bu iddiayı çürüttü.



Şirket ayrıca ekran görüntülerinin depolanmadığını, yalnızca yapay zeka araçlarıyla tehdit analizi için kullanıldığını iddia etti fakat bunu doğrulayacak herhangi bir kanıt sunmadı. Araştırmacılar, geliştiriciyle iletişimin daha sonra tamamen kesildiğini aktardı.



Koi Security’nin ek araştırmaları, eklenti yayıncısının “phoenixsoftsol.com” alan adına bağlı olduğunu ancak bunun ücretsiz bir Wix sayfası olduğunu ve herhangi bir şirket bilgisi içermediğini ortaya çıkardı.



NE YAPMALI?



Google’a eklentinin mağazadan kaldırılıp kaldırılmayacağı soruldu ancak araştırmacılar şirkete ulaşamadı.



Uzmanlar, eklentiyi kullanmış kişilerin Chrome üzerinden eriştikleri tüm hesapların şifrelerini değiştirmelerini ve yalnızca bağımsız denetimlerden geçmiş, şeffaf gizlilik politikalarına sahip VPN sağlayıcılarını tercih etmelerini tavsiye ediyor.

