ほとんどの人がVPNに頼る理由は1つです:プライバシー。確認済みバッジ、掲載中、100,000以上のインストール数を備えたFreeVPN.Oneは安全な選択肢に見えました。しかし、ブラウザにインストールされると、あなたを安全に保つために機能するのではなく、継続的にあなたを監視しています。
Google Sheetで機密情報を開く、銀行口座にログインする、デートアプリを閲覧する、家族の私的な写真を見るなど、あなた自身の日々のブラウジングについて考えてみてください。
それらのモーメントのすべてが、スクリーンショットとしてキャプチャされ、あなたの同意なしに送信されています。
それでも、プライバシーポリシーでは、開発者は「開発者はあなたのデータを収集または使用しないことを開示しています」と述べています。
現実は?全く逆です。
監視がどのように機能するか
実際には、このように機能します:ページからページへ移動する際に、拡張機能は一連の疑わしいアクションを実行します
サイレントスクリーンショットキャプチャ
ページが読み込まれてから数秒後、バックグラウンドトリガーがスクリーンショットをキャプチャし、ページURL、タブID、および一意のユーザー識別子とともにaitd[.]one/brange.phpに送信します。ユーザーアクション、UIヒント、スクリーンショットはバックグラウンドで取得されるため、あなたは決して知ることはありません。
拡張機能は洗練された2段階アーキテクチャを使用してスクリーンショットをキャプチャします。まず、マニフェストでmatches: ["http://*/*", "https://*/*"]パターンの広いため、コンテンツスクリプトがすべてのHTTPおよびHTTPSウェブサイトに自動的に注入されます。ページ読み込み時に、コンテンツスクリプトは遅延トリガーを実行します:
このコードはページ初期化から正確に1.1秒待機してから、内部メッセージcaptureViewportをバックグラウンドサービスワーカーに送信してスクリーンショットキャプチャをリクエストします。遅延により、キャプチャ前にページが完全にレンダリングされるため、収集される可能性のある機密情報の品質が最大化されます。バックグラウンドサービスワーカーはこのメッセージを受け取り、Chromeの特権付きAPI chrome.tabs.captureVisibleTab()を使用して実際のスクリーンショットキャプチャを実行します
「AI脅威検出」クリック
「AI脅威検出でスキャン」をタップすると、拡張機能はフルページのスクリーンショットをキャプチャし、aitd[.]one/analyze.phpにアップロードしてサーバー側分析を行います。プライバシーポリシーこの機能がページのスクリーンショットとURLを保護されたサーバーにアップロードする可能性があることを開示しているのは良いことです。それは、あなたがそのボタンをクリックする前に、拡張機能が既にバックグラウンドでより多くのスクリーンショットを撮影していることは教えていません。UIはそれを1回限りのローカルスキャンとして提示していますが、監視は既に進行中です。
野生での収集
インストール時および起動時に、拡張機能はIP地理情報APIにクエリして位置情報を取得し、デバイス情報を収集してから、このデータをBase64エンコードされた分析としてaitd[.]one/bainit.phpに送信します。
最新バージョンで検出が難しい
最新リリースでは、開発者はAES-256-GCM暗号化とRSAキーラッピングを導入して転送中のデータを隠しています。これは動作を変えません、それは依然として毎回のウェブサイト訪問ですべてのウェブサイトで静かにスクリーンショットをキャプチャしていますが、ネットワークモニタリングを通じた流出検出をはるかに難しくしています。
過度なアクセス許可とプライバシーリスク
VPN拡張機能はproxyとstorageのような権限を合法的に必要としていますが、コア機能のために、このものはより多くの権限を要求して広いデータ収集を有効にします。
FreeVPN.One リクエスト<all_urls>、tabs、およびscripting持続的な監視への道を開く組み合わせ。
<all_urls>権限を使用すると、拡張機能はあなたが訪問するすべてのサイトにアクセスする機能を取得します。この広いリーチにより、あなたが行くすべての場所にコンテンツスクリプトを静かに注入することができます。この権限を使用して、すべてのページで開いているスクリーンショットをトリガーするcaptureViewportメッセージを静かに送信します、あなたに気づかれずにすべてのページを開きます。
実際にそれらのスクリーンショットをキャプチャするために、拡張機能はcaptureVisibleTab() API を使用するtabs権限と動的にJavaScriptを注入するscripting権限も必要とします。
スクリーンショットはあなたを待たない。tabs権限はchrome.tabs.captureVisibleTab()を強化し、captureViewportメッセージを受け取ると自動的にスクリーンショットをキャプチャします。
一方、scripting権限は「AI脅威検出でスキャン」をクリックしたときのみ、フルページスクリーンショットをキャプチャするコードを実行するchrome.scripting.executeScript()をトリガーします。
なぜそれが重要なのか:スクリーンショットはパスワード、銀行の詳細、個人的なメッセージ、およびあなたの画面に表示される機密データを掃き出す可能性があります。これらの画像はその後、VPNプロバイダとは別の第三者サーバーにアップロードされ、プライバシーツールが行うべきことに完全に反対する流出パスです。
それはちょうどVPNでした。次にスパイ行為が始まりました。
何年間も、FreeVPN.OneはChromeウェブストアで静かに座っていて、それが主張していることをしていました。基本的なVPNツール。その行動には、何が来たのかについてのヒントはありませんでした。それから一日、開発者はおそらくユーザーの画面をキャプチャしたいと決めました。
v3.0.3 — 2025年4月 — ドアを開く
それは他のアップデートのような静か、平凡に到着しましたが、重大な変更を隠しています:<all_urls>権限。それはあなたが訪問したすべてのサイトにアクセスできるようになったことを意味しました—VPNが必要とすべきより遥かに多くの。この時点で、権限はより広いアクセスを許可しましたが、コンテンツスクリプトはVPNプロバイダのドメインに限定されていました。まだスパイ行為はありませんが、ドアは今開いていました。
v3.1.1 — 2025年6月 — 制限をテストする
「AI脅威検出」を含むようにリブランド、すべてのウェブサイトへの拡張コンテンツスクリプト、およびscripting権限を追加しました。ユーザーにとって、それはセキュリティアップグレードのように見えました。実際には、開発者は実験していて、疑いを引き起こすことなくどこまで行くことができるかを見ていました。
v3.1.3 — 2025年7月17日 — 全力を尽くす
2025年5月31日にドメインaitd.oneが登録されました。1ヶ月後、v3.1.3が発送され、スパイ行為がライブになりました:
- すべてのサイトでのサイレントスクリーンショット
- あなたの位置を追跡し、デバイスの詳細を収集して収集を開始した
- データ流出が開始され、新しい
aitd.oneサーバーにすべてを送信した
v3.1.4 — 2025年7月25日 — 彼の追跡を覆う
彼らのデータ泥棒が検出可能であることに気づいた開発者は、AES-256暗号化、RSAキーラッピングを追加し、新しいサブドメインscan.aitd.oneに切り替えました – 同じ行動、検出がより難しい。
信頼されたVPNとして始まったものは、現在、あなたがオンラインで行うことを常に観察するウィンドウです。
彼らは確認済みステータスを獲得しており、Chromeウェブストアに掲載されています。Chromeは拡張機能の新しいバージョンでセキュリティチェックを実行することを主張しているが、自動スキャン、人間のレビュー、および悪意のあるコードまたは動作の変更の監視を使用して—現実は、これらのセーフガードは失敗しました。このケースは、これらの保護が実装されていても、危険な拡張機能がすり抜ける可能性があることを示しており、主要なブラウザマーケットプレイス全体のセキュリティの深刻なギャップを強調しています。
開発者の視点、現実に対してテスト
誤解があったかどうかを理解することを目的として、開発者に連絡しました。彼は複数の説明を提供しましたが、残念ながら、私たちの観察は彼の主張と一致していません:
- 彼は自動スクリーンショットキャプチャは背景スキャン機能の一部であり、ドメインが疑わしいように見える場合のみトリガーするはずだと説明しました。実際には、GoogleシートやGoogleフォトなどの信頼できるサービスでスクリーンショットが撮影されるのを見ました、疑わしいと考えることができないドメイン。
- 彼は背景スキャンはデフォルトですべてのユーザーに対して最初に有効にされたと述べ、将来のアップデートはその変更を実装して明示的な同意を要求することを計画していました。ただし、その変更がロールアウトされるまで、スクリーンショットはユーザーの知識または許可なしに彼のサーバーに送信されており、意思に関係なく信頼を損なうギャップです。
- 彼はスクリーンショットが保存または使用されていないと述べ、潜在的な脅威の簡単な分析のためだけでした。ここでの困難は、この主張を独立して検証することはできません。スクリーンショットがユーザーのデバイスを離れると、それらが保持されていないことを確認する方法はありません。
- 正当性の証拠を提供するよう求められたとき、会社プロフィール、GitHubアカウント、またはLinkedInページなど、開発者は私たちのメールへの応答を停止しました。唯一の見える痕跡はphoenixsoftsol.comに結ばれたメールでした、これは現在、実際の企業の兆候がない無料層のWixテンプレートページに解決されます。
- 彼は5年間彼のユーザーに忠実に奉仕し、決して彼らのデータを販売することなく無料VPNサービスを提供したと主張しました。この主張は検証が困難で、すでに開発者を信頼する必要があります。しかし、無料VPNを提供することが許可されないとしても、彼らの知識または同意なしに秘密裏に人々の画面をキャプチャする権利を付与しません。これはコアの問題であり、この点では開発者は満足のいく答えを提供することに失敗しています。
FreeVPN.Oneプライバシーブランディングがトラップにどのようにひっくり返すことができるかを示しています。あなたは保護に手を伸ばし、代わりに、ツールは背後を見ます。安全として売られているものは、あなたが何をするかと場所を収集するための静かなパイプラインになります。
• • •
このライトアップはKoi Securityの研究チーム、健康な妄想症と安全でオープンソースのエコシステムへの希望によって執筆されました。
SpyVPNは、悪意のある拡張機能がマーケットプレイスのセキュリティをすり抜けて機密データを損なうことがいかに簡単であるかを示しています。Koiを使用して、セキュリティチームはバイナリおよび非バイナリソフトウェア全体で可視性、リスク評価、およびガバナンスを取得します—それが本番環境に到達する前に。
デモを予約するKoiがレガシーツールが見落としているギャップをどのように閉じるかを見るため。
長い間、信頼できない第三者コードの使用は、最も高い権限で実行されることが多い場合、エンタープライズと攻撃者の両方のレーダーの下を飛んでいます。その時代は終わります。潮は変わっています。先月、私たちは別のキャンペーンを発見しました18個の掲載され、確認された拡張機能が悪意のあるものに変わり、何百万ものユーザーに影響を与えました。
私たちはこの瞬間に会うためにKoiを作成しました;実践者とエンタープライズの両方。当社のプラットフォームは、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHub、およびそれ以上のようなマーケットプレイスからあなたのチームがプルするすべての検出、評価、およびガバナンスを支援しています。
Fortune 50の組織、BFSIおよび世界中の最大のテック企業のいくつかによって信頼されている、Koiは可視性を取得し、このまばらな攻撃表面全体でガバナンスを確立し、プロアクティブにリスクを削減するために必要なセキュリティプロセスを自動化します。
私たちはまもなく到来させるためにスリーブの下でいくつかの驚きを持っているので、つながっていてください。
IOCs
拡張機能ID:jcbiifklmgnkppebelchllpdbnibihel
ドメイン
aitd.one
extrahefty.com
freevpn.one
scan.aitd.one
翻訳元: https://www.koi.ai/blog/spyvpn-the-vpn-that-secretly-captures-your-screen
