SİBER GÜVENLİKTE ŞAŞIRTICI BULGULAR
Koi Security adlı siber güvenlik şirketi, Chrome Web Store’da 100 binden fazla kez indirilen ve doğrulama rozeti taşıyan “FreeVPN.One” adlı VPN eklentisinin kullanıcıların tarayıcı aktivitelerine ait ekran görüntülerini izinsiz alıp uzak sunuculara gönderdiğini belirledi. Bu eklentinin, cihaz parmak izi çıkarma ve konum izleme gibi ek faaliyetlerde bulunduğu da ortaya çıktı. Cihaz parmak izi çıkarma, kullanıcının cihazına ait teknik bilgilerin toplanarak cihaza özgü bir “dijital parmak izi” oluşturulması anlamına geliyor. Google, şu ana kadar bu eklentiyi mağazadan kaldırmamış durumda. Koi Security araştırmacısı Lotan Sery, “FreeVPN.One, gizlilik söyleminin nasıl bir tuzağa dönüşebileceğinin çarpıcı bir örneği” açıklamasını yaptı.
GİZLİ VERİ AKTARIMI VE GÖZDAĞI
Eklenti, her sayfa yüklendikten hemen sonra “chrome.tabs.captureVisibleTab()” mekanizması aracılığıyla gizlice ekran görüntüsü alıyor ve bunları geliştiricinin kayıtlı olduğu “aitd[.]one” alan adına gönderiyor. Bu işlem, kullanıcıya herhangi bir bildirim yapılmadan arka planda gerçekleşiyor. İlk başta veriler şifrelenmeden aktarılırken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümünde şifreleme eklenerek fark edilmesi zorlaştırıldı. Koi Security, eklentinin gelişim sürecindeki kritik aşamaları şu şekilde sıraladı: – Nisan 2025 (v3.0.3): Genişletilmiş izinler istendi ancak henüz casusluk faaliyeti başlamadı. – Haziran 2025 (v3.1.1): “Yapay Zeka Tehdit Tespiti” markalaması eklendi, içerik kodları tüm sitelere yayıldı. – 17 Temmuz 2025 (v3.1.3): Casusluk özelliği aktif oldu; ekran görüntüsü alma, cihaz parmak izi çıkarma ve konum izleme işlemleri başladı. – 25 Temmuz 2025 (v3.1.4): Veri sızdırma işlemleri şifrelenerek gizlendi.
KENDİSİNİ SAVUNAN GELİŞTİRİCİ
FreeVPN.One’ın geliştiricisi, eklentinin “Chrome Web Store politikalarına tamamen uyumlu” olduğunu ve ekran görüntüsü alma özelliğinin gizlilik politikasında yer aldığını savundu. Ayrıca, bu özelliğin yalnızca “şüpheli alan adları” için çalışan bir güvenlik taraması olduğunu ileri sürdü. Ancak Koi Security, Google Sheets ve bankacılık siteleri gibi güvenilir sitelerden de ekran görüntüleri alındığını kanıtlayarak bu iddiayı çürüttü. Geliştirici, ekran görüntülerinin depolanmadığını, yalnızca yapay zeka ile tehdit analizi için kullanıldığını belirtse de buna dair herhangi bir kanıt gösteremedi. Araştırmacılar, geliştiriciyle iletişimin zamanla tamamen kesildiğini vurguladı. Koi Security, eklenti yayıncısının “phoenixsoftsol.com” alan adına bağlı olduğunu ve bunun ücretsiz bir Wix sayfası olduğunu, dolayısıyla herhangi bir şirket bilgisinin bulunmadığını ortaya çıkardı.
NE YAPILMALI?
Google’a eklentinin mağazadan kaldırılıp kaldırılmayacağı yönünde sorular yöneltildi, ancak araştırmacılar şirkete ulaşamadı. Uzmanlar, eklentiyi kullanan kişilere Chrome üzerinden eriştikleri tüm hesapların şifrelerini değiştirerek yalnızca güvenilir denetimlerden geçmiş ve şeffaf gizlilik politikalarına sahip VPN sağlayıcılarını tercih etmelerini öneriyor.