SİBER GÜVENLİK ARAŞTIRMASI ŞOK EDİCİ BULGULAR SUNUYOR
Siber güvenlik alanında çalışan Koi Security, Chrome Web Store’da 100 binden fazla indirme sayısına sahip ve doğrulama rozeti bulunan “FreeVPN.One” isimli VPN eklentisinin, kullanıcıların tarayıcı aktivitelerine dair izinsiz ekran görüntüleri alarak bunları uzak sunuculara gönderdiğini ortaya çıkardı. Rapor, bu eklentinin cihaz parmak izi çıkarma ve konum izleme gibi kaygı verici faaliyetler gerçekleştirdiğini de belirtiyor. “Cihaz parmak izi çıkarma” ifadesi, bir kullanıcının cihaza özgü teknik bilgilerini toplayarak bu bilgilerin bir kimlik olarak kullanılmasını ifade ediyor. Google ise bu eklentiyi henüz mağazadan kaldırmadı. Koi Security araştırmacısı Lotan Sery, yayınladıkları raporda “FreeVPN.One, gizlilik söyleminin nasıl bir tuzağa dönüştürülebileceğinin çarpıcı bir örneği” dedi. Rapor ayrıca, Chrome’un yeni sürümlerinin otomatik tarama ve insan denetimi gibi güvenlik kontrolleri uygulamasına rağmen, bu sistemlerin ciddi zaaflar barındırdığını ortaya koyuyor.
GİZLİ EKRAN GÖRÜNTÜLERİ ALINIYOR
Araştırmada, FreeVPN.One eklentisinin sayfalar yüklendikten yaklaşık bir saniye sonra “chrome.tabs.captureVisibleTab()” mekanizması ile ekran görüntüleri aldığını ve bu görüntüleri sayfanın URL’si, sekme kimliği ve kullanıcıya özel tanımlayıcılar gibi meta veriler ile geliştiricinin kayıtlı olduğu “aitd[.]one” alan adını gönderdiği ifade ediliyor. Bu işlemin, kullanıcıların herhangi bir bildirim almasına neden olmadan arka planda gerçekleştiği tespit edildi. İlk başta şifrelenmeden veri aktarımı yapılırken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümünde şifreleme eklenerek tespit edilmesi zorlaştırdı. Koi Security, eklentinin geliştirilme sürecindeki önemli aşamaları şöyle sıraladı: – Nisan 2025 (v3.0.3): Genişletilmiş izinler talep edildi, fakat henüz casusluk faaliyeti yoktu. – Haziran 2025 (v3.1.1): “Yapay Zeka Tehdit Tespiti” markalaması eklendi, içerik kodları tüm sitelere genişletildi. – 17 Temmuz 2025 (v3.1.3): Casusluk özelliği devreye alındı; ekran görüntüsü alma, cihaz parmak izi çıkarma ve konum izleme gerçekleşti. – 25 Temmuz 2025 (v3.1.4): Veri sızıntısı şifrelenerek gizlilik kazandı.
FreeVPN.One geliştiricisi, eklentinin “Chrome Web Store politikalarına tamamen uyumlu” olduğunu iddia ediyor ve ekran görüntüsü alma özelliğinin gizlilik politikasında açıkça belirtildiğini savunuyor. Ayrıca bu özelliğin yalnızca “şüpheli alan adları” için tetiklenen bir güvenlik taraması olduğunu dile getirdi. Ancak Koi Security, Google Sheets ve bankacılık siteleri gibi güvenilir sayfalardan da ekran görüntüsü alındığını göstererek bu iddiayı geçersiz kıldı. Geliştirici, ekran görüntülerinin depolanmadığını, sadece yapay zeka araçları aracılığıyla tehdit analizi oluşturmak için kullanıldığını öne sürdü ama bunu doğrulamak için herhangi bir kanıt sunamadı. Araştırmada, geliştiriciyle olan iletişimin sona erdiği de aktarıldı. Koi Security’nin daha derin araştırmaları, eklenti yayıncısının “phoenixsoftsol.com” alan adına bağlı olduğunu ancak bunun bir Wix sayfası olduğunu ve şirket bilgisi içermediğini gösterdi.
NE YAPILMALI?
Google’ın, eklentinin mağazadan kaldırılıp kaldırılmayacağı sorusuna henüz yanıt verilmedi. Uzmanlar, eklentiyi kullanmış olan kişilerin Chrome üzerinden eriştikleri tüm hesapların şifrelerini değiştirmeleri ve yalnızca bağımsız denetimlerden geçmiş, şeffaf gizlilik politikalarına sahip VPN sağlayıcılarını tercih etmeleri gerektiğini öneriyor.