Видаліть негайно: дослідники знайшли небезпечне розширення для Chrome, яке знімає ваш екран

Популярний VPN-сервіс у вигляді розширення для браузера, який мав позначку "перевірено" від Google і понад 100 тисяч завантажень, виявився шпигунським програмним забезпеченням. Протягом тривалого часу він без відома користувачів робив знімки екрана, фіксуючи всю їхню активність в інтернеті, а потім відправляв ці дані на сторонні сервери.

Механізм шпигунства був реалізований доволі хитро. Після встановлення розширення запитувало надмірну кількість дозволів, включно з доступом до даних на всіх відвідуваних сайтах. Через 1,1 секунди після завантаження будь-якої вебсторінки фоновий скрипт автоматично робив скриншот видимої частини вкладки. Потім це зображення разом із URL-адресою, ідентифікатором вкладки та унікальним ідентифікатором користувача відправлялося на сторонній сервер aitd.one. При цьому користувач не отримував жодних сповіщень про це.

Цікаво, що розширення мало функцію під назвою "Сканування загрози за допомогою ШІ". Під час її активації застосунок також робив знімок екрана, що було зазначено в політиці конфіденційності. Проте в документі не було жодної згадки про те, що програма постійно робить скриншоти у фоновому режимі, навіть коли ця функція неактивна.

Експерти з'ясували, що розширення не завжди було шпигунським. Протягом кількох років воно функціонувало як звичайний VPN-інструмент. Однак усе змінилося з оновленнями у 2025 році.

• У квітні версія 3.0.3 отримала дозвіл на доступ до всіх сайтів, що стало першим кроком до шпигунства.
• У червні, з виходом версії 3.1.1, розширення отримало новий функціонал "виявлення загроз ШІ" та почало тестувати скрипти на всіх вебсайтах.
• Повноцінне шпигунство активувалося 17 липня з версією 3.1.3, коли розширення почало масово робити скриншоти та збирати дані про місцеперебування і пристрої користувачів.
• Уже наприкінці липня розробники випустили оновлення 3.1.4, в якому додали шифрування AES-256, щоб приховати свою шпигунську діяльність та ускладнити її виявлення.

Коли дослідники звернулися до розробника за поясненнями, той заявив, що фонове сканування начебто потрібне для виявлення підозрілих доменів. Однак на практиці скриншоти робилися навіть на цілком безпечних сайтах, як-от Google Sheets чи Google Photos, зливаючи конфіденційні дані (наприклад, робочі чи фінансові) та фотографії. Розробник також стверджував, що не зберігає знімки, але перевірити це неможливо. Зрештою, коли його попросили надати докази легітимності своєї компанії, він просто перестав відповідати на листи.

Цей випадок демонструє серйозні прогалини в системі безпеки Chrome Web Store, оскільки навіть перевірені та рекомендовані розширення можуть виявитися небезпечними.