Milyonlarca insan tarafından kullanılan bir VPN uygulamasının cihazların parmak izini çıkardığı ve ekran görüntüsü topladığı ortaya çıktı
Siber güvenlik firması Koi Security, Google Chrome Web Mağazası’nda 100 binden fazla kez indirilen “FreeVPN.One” adlı eklentinin kullanıcı güvenliğini ciddi biçimde ihlal ettiğini ortaya çıkardı. Araştırmaya göre, doğrulanmış rozet taşıyan bu VPN eklentisi, kullanıcıların tarayıcı ekran görüntülerini habersizce alarak yurt dışındaki bir sunucuya aktarıyor.
EKRAN GÖRÜNTÜLERİ SESSİZCE ALINDI
Koi Security araştırmacısı Lotan Sery, eklentinin kullanıcı gizliliğini ihlal ettiğini vurgulayarak, “FreeVPN.One, gizlilik söyleminin nasıl bir gözetim aracına dönüşebileceğinin çarpıcı bir örneği” dedi.
Eklentinin, her sayfa yüklendikten yaklaşık bir saniye sonra chrome.tabs.captureVisibleTab() komutu aracılığıyla ekran görüntüsü aldığı ve bunları kullanıcıya ait tanımlayıcılarla birlikte geliştiriciye ait “aitd[.]one” adlı sunucuya gönderdiği tespit edildi. Başlangıçta veriler şifresiz olarak aktarılırken, 25 Temmuz 2025’te yayımlanan “v3.1.4” sürümüyle birlikte bu veriler şifrelenerek gönderilmeye başlandı; böylece tespitin zorlaştırıldığı bildirildi.
PARMAK İZİ VE KONUM BİLGİLERİ DE TOPLANDI
FreeVPN.One eklentisinin sadece ekran görüntüsü almakla kalmayıp, kullanıcıların cihaz parmak izini (device fingerprinting) çıkardığı ve konum verilerini de topladığı belirtildi. Bu tür bilgiler, kullanıcının cihazına özgü bir dijital kimlik oluşturmak amacıyla kullanılıyor ve takip için güçlü bir araç olarak biliniyor.
Eklenti geliştiricisi, iddiaları reddederek tüm işlevlerin Chrome politikalarına uygun olduğunu savundu. Şirket, ekran görüntülerinin yalnızca “şüpheli alan adları” için alındığını ve tehdit analizi amacıyla geçici olarak işlendiğini ileri sürdü. Ancak Koi Security, bankacılık siteleri ve Google Sheets gibi güvenilir platformlardan da görüntülerin toplandığını belgeleyerek bu savunmayı geçersiz kıldı.
Geliştirici ayrıca verilerin depolanmadığını iddia etse de bu beyanı destekleyecek herhangi bir teknik ya da hukuki kanıt sunamadı. Araştırma sürecinin ilerleyen aşamalarında ise geliştiriciyle tüm iletişimin kesildiği bildirildi.
Koi Security, eklentinin geliştiricisinin kayıtlı olduğu alan adının “phoenixsoftsol.com” olduğunu, ancak bunun basit bir Wix sayfası olduğunu ve herhangi bir kurumsal bilgi içermediğini de ortaya koydu.
Tüm bu bulgulara rağmen, Google Chrome Web Store üzerinden yapılan kontrollerde eklentinin hâlâ erişilebilir olduğu görüldü. Google’dan konuyla ilgili resmi bir açıklama gelmedi.
NELER YAPILABİLİR?
Siber güvenlik uzmanları, bu eklentiyi yüklemiş kişilerin Chrome üzerinden erişim sağladıkları tüm hesapların şifrelerini değiştirmelerini ve eklentiyi derhal kaldırmalarını tavsiye etti. Ayrıca yalnızca bağımsız denetimlerden geçmiş, açık ve şeffaf gizlilik politikalarına sahip VPN sağlayıcılarının tercih edilmesi gerektiği uyarısında bulunuldu.
