Google Verified的FreeVPN被揭露竊取用戶資料

據網絡安全研究公司Koi Security的最新報告，一款在Chrome Web Store擁有超過10萬次安裝、並獲得谷歌「驗證」徽章的虛擬私人網絡（VPN）擴展程式FreeVPN.One，被發現秘密地對用戶進行監視。此擴展程式原本聲稱提供免費且快速的VPN服務，卻在未經用戶明確同意的情況下，擅自截取用戶瀏覽的每個網頁畫面，並將這些資料傳送到由其匿名開發者控制的遠端伺服器。此行為嚴重違反用戶隱私，令人震驚。

喺Koi Security嘅調查入面，佢哋發現FreeVPN.One喺2025年4月開始，透過一連串更新，逐步將原本看似無害嘅VPN服務，變成一個隱秘嘅監視工具。最初，呢個擴展程式喺4月版本3.0.3更新時，加入咗「all_urls」權限，容許佢訪問用戶瀏覽嘅所有網站。雖然當時仲未有明顯嘅間諜行為，但呢個改變已經為後續嘅監視功能打開大門。嚟到6月，版本3.1.1再進一步擴展咗內容腳本嘅範圍，涵蓋所有網站，並新增咗「AI威脅檢測」功能，聲稱用於保護用戶安全，但實際上係為監視行為鋪路。最終喺7月17日嘅版本3.1.3，間諜功能正式啟動，開始自動截取螢幕畫面、追蹤用戶位置同收集設備指紋等資料。更加離譜嘅係，喺7月25日嘅版本3.1.4，開發者仲加入咗AES-256加密同RSA密鑰包裝，試圖隱藏數據傳輸，令網絡監控工具難以檢測到呢啲行為。

FreeVPN.One嘅私隱政策表面上聲稱只會喺用戶啟用「AI威脅檢測」功能時，先會收集螢幕截圖同網頁資訊，並將呢啲數據傳送到「安全伺服器」或「經審查嘅分析夥伴」。但Koi Security嘅報告指出，即使無啟用呢個功能，擴展程式依然會自動喺用戶瀏覽任何網頁時，喺幾秒內利用Chrome嘅特權API（chrome.tabs.captureVisibleTab）捕捉螢幕截圖，仲會連同網頁URL、分頁ID同獨特用戶標識等元數據一併上傳到aitd.one域名。呢啲截圖可能包含敏感資料，例如用戶喺Google Sheets上嘅公司資料、銀行戶口登入頁面，甚至私人相片同訊息，全部都喺無用戶知情嘅情況下被收集同傳送。

更令人不安嘅係，FreeVPN.One嘅開發者身份成謎。Koi Security多次要求對方提供合法性證明，例如公司簡介、GitHub或LinkedIn帳戶，但開發者喺被質疑後即停止回應。喺Chrome Web Store同擴展程式網站上列出嘅聯繫域名phoenixsoftsol.com，只係一個毫無公司詳情嘅免費Wix頁面。呢種缺乏透明度嘅做法，進一步加深咗用戶對呢個擴展程式嘅不信任。雖然FreeVPN.One喺Chrome Web Store上依然可用，仲保留住「驗證」徽章同3.8星評分（基於超過1000個評論），但Koi Security強烈建議用戶立即移除呢個擴展程式，並更改喺使用期間可能暴露嘅任何服務密碼，例如銀行或社交媒體帳戶。

呢次事件突顯咗免費VPN服務嘅潛在風險。雖然VPN通常被視為保護隱私嘅工具，但唔少免費VPN服務可能反而會危害用戶安全。專家建議用戶選擇經過獨立審計、具透明私隱政策嘅付費VPN服務，例如NordVPN或ProtonVPN，以確保數據安全。谷歌作為Chrome Web Store嘅管理者，亦被批評未能有效監管擴展程式嘅安全更新，容許呢類惡意行為喺「驗證」徽章嘅掩護下持續數月。用戶喺選擇瀏覽器擴展程式時，務必謹慎檢查開發者背景同權限要求，以免成為隱私洩露嘅受害者。https://news.itsfoss.com/freevpn-fiasco/