{"id":314851,"date":"2025-08-24T00:09:25","date_gmt":"2025-08-23T22:09:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314851"},"modified":"2025-08-24T06:14:21","modified_gmt":"2025-08-24T04:14:21","slug":"chrome-erweiterung-freevpn-one-zeichnet-screenshots-von-seitenbesuchen-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/24\/chrome-erweiterung-freevpn-one-zeichnet-screenshots-von-seitenbesuchen-auf\/","title":{"rendered":"Chrome-Erweiterung FreeVPN.One zeichnete Screenshots von Seitenbesuchen auf"},"content":{"rendered":"

[English<\/a>]Wer bisher glaubte, dass Microsofts Recall in Punkto \u00dcberwachung an der Spitze liegt, muss umdenken. Sicherheitsforscher sind auf die Erweiterung FreeVPN.One des Google Chrome-Browsers gesto\u00dfen. Diese fertigte Screenshots von allen besuchten Seiten an und sammelte weitere Daten. Die Erweiterung ist nun im Google Chrome Store entfernt worden.<\/p>\n

<\/p>\n

\"\"Ich bin die Woche bei Tuta \u00fcber nachfolgenden Tweet<\/a> auf das Thema gesto\u00dfen, was im Beitrag\u00a0Chrome VPN Extension With 100k Installs Screenshots All Sites Users Visit<\/a> n\u00e4her beleuchtet wird.<\/p>\n

\"Chrome<\/a><\/p>\n

Ich dich gratis VPN biete …<\/h2>\n

Die Chrome Erweiterung FreeVPN.One wird vom Anbieter VPN.one<\/a> mit hohen Versprechen angeboten:\u00a0Das kostenlose FreeVPN.One verhindert, dass Ihr Netzbetreiber Ihren Internetverkehr ausspioniert, und sorgt gleichzeitig f\u00fcr die schnellstm\u00f6glichen Geschwindigkeiten, die Ihnen zur Verf\u00fcgung stehen.\u00a0<\/em>Die Privacy-Erkl\u00e4rungen<\/a> lesen sich auch nicht schlecht. Aber es f\u00e4llt auf, dass die Seite nicht mal ein Impressum mit der Firmenadresse aufweist. Ich gehe davon aus, dass der Betreiber seinen Firmensitz in Hongkong hat, mag mich aber t\u00e4uschen. Datenschutz- oder Privatsph\u00e4ren-Erkl\u00e4rungen sind daher \"Schall und Rauch\" – einer der Gr\u00fcnde, warum ich hier im Blog Tests oder sponsored Artikel zu VPNs ablehne.<\/p>\n

\"Chrome<\/p>\n

Aktuell ist die Chrome-Erweiterung im Google Chrome Store nicht mehr verf\u00fcgbar (warum wohl), kann aber auf 100.000 Downloads blicken.<\/p>\n

Nichts ist Gratis …<\/h2>\n

Was die obigen Versprechungen zur Erweiterung im Google Chrome Store im konkreten Fall wert sind, haben Sicherheitsforscher von Koi Security zum 19. August 2025 im Beitrag SpyVPN: The Google-Featured VPN That Secretly Captures Your Screen<\/a> offen gelegt.<\/p>\n

Mit seinem Verifizierungszeichen (Badge) im Store, seiner hervorgehobenen Platzierung und \u00fcber 100.000 Installationen schien FreeVPN.One eine sichere Wahl zu sein. Aber sobald es in diese Erweiterung im Google-Browser installiert ist, sorgt sie nicht f\u00fcr Privatsph\u00e4re beim Surfen, sondern \u00fcberwacht den Nutzer st\u00e4ndig.<\/p>\n

Alles, was der Nutzer anschlie\u00dfend im Browser machen, wird mit Screenshots aufgezeichnet und an die Betreiber des Diensts geschickt – Recall im Quadrat. Einfach mal dran denken, welche t\u00e4glichen Aktivit\u00e4ten im Internet, angefangen vom Zugriff auf Online-Konten, Online-Banking, Surfen auf Webseiten, Mails, arbeiten mit Unternehmensdaten etc., man so unternimmt.<\/p>\n

An dieser Stelle wird die die Verarsche deutlich: Der Betreiber des Diensts und Entwickler der Erweiterung verspricht Datenschutz und leitet im Gegenzug alles, was der Nutzer macht, an eigene Server weiter. Und die Nutzer jubeln noch mit F\u00fcnf-Sterne-Bewertungen, wie toll das alles sei.<\/p>\n

In der technischen Analyse von Koi wird offen gelegt, dass Sekunden nach dem Laden einer Seite ein Hintergrund-Trigger einen Screenshot erstellt. Dieser wird zusammen mit der Seiten-URL, der Tab-ID und einer eindeutigen Benutzer-ID an die folgende Adresse\u00a0 aitd[.]one\/brange.php<\/em> geschickt. Die Erweiterung verwendet dabei eine ausgekl\u00fcgelte zweistufige Architektur, um die Screenshots aufzunehmen.<\/p>\n

Die Seite, an die die Daten hochgeladen werden, ist ein AI-Thread-Detector, der zum Ziel hat, sch\u00e4dliche Seiten sofort zu erkennen. K\u00f6nnte man zwar sagen \"die versuchen eine Absicherung\". Auf der Seite wird der Besucher mit hehren Worten \u00fcber Phishing & Co. \"aufgekl\u00e4rt\".<\/p>\n

Aber gut gemeint ist das Gegenteil von gut gemacht. Es werden ohne Benutzeraktion und ohne Hinweis durch die Erweiterung Screenshots im Hintergrund erstellt, und ohne dass der Nutzer es merkt oder zustimmt.<\/p>\n

\"AI<\/p>\n

Als ich die Seite beim Schreiben des Beitrags besuchte, wurde ich nach einiger Zeit im offenen Browser-Tab mit obigem Popup angesprungen. Dieses bewarb FreeVPN des obigen Anbieters, mit Speck f\u00e4ngt man M\u00e4use …<\/p>\n

Das Verhalten ist neu<\/h2>\n

Jahrelang war FreeVPN.One, laut Koi, einfach eine VPN-Extension im Chrome Web Store, die genau das tat, was es versprach. Nichts im Verhalten des VPN-Tool deutete darauf hin, was kommen w\u00fcrde.<\/p>\n

Mit dem Update auf\u00a0v3.0.3 kam im April 2025 der T\u00fcr\u00f6ffner, in Form einer \u00c4nderung der Berechtigung auf <all_urls><\/em>. Das bedeutete, dass die Erweiterung nun auf jede\u00a0 besuchte Website zugreifen konnte \u2013 weit mehr, als ein VPN ben\u00f6tigen sollte. Am 31. Mai 2025 wurde die Domain aitd[.]one<\/em> registriert.<\/p>\n

Im Juni 2025 kam das Update auf \u200dv3.1.1, und der Entwickler begann die Grenzen auszutesten\u200d. Es gab ein Rebranding, um \"AI Threat Detection\" einzubeziehen. Hinzu kamen erweiterte Inhaltsskripte f\u00fcr jede besuchte Website, und entsprechende Skriptberechtigungen wurden angefordert. F\u00fcr die Benutzer sah es wie ein Sicherheitsupgrade aus. In Wirklichkeit experimentierte der Entwickler, so Koi, um zu sehen, wie weit er gehen konnte, ohne Verdacht zu erregen.<\/p>\n

Mit der Version 3.1.3 vom 17. Juli 2025 setzte der Entwickler dann alles auf eine Karte,
\nund die Spionage begann mit dem heimlichen Anfertigen der Screenshots auf jeder besuchten Website. Der Standort wurde verfolgt und die Ger\u00e4tedaten wurden gesammelt und an die neue Domain aitd[.]one<\/em> gesendet.<\/p>\n

Dann muss der Entwickler erkannt haben, dass seine Tricks entdeckbar waren. Mit Version\u00a0\u200dv3.1.4\u200avom 25. Juli 2025\u200a begann man, die Spuren zu verwischen. Die Entwickler implementierten eine AES-256-Verschl\u00fcsselung und RSA-Key-Wrapping und wechselten zu einer neuen Subdomain scan[.]aitd[.]one<\/em>. Das Verhalten blieb, aber die Schweinerei war schwieriger zu entdecken.<\/p>\n

Was als vertrauensw\u00fcrdiges VPN begann, war nun ein \u00dcberwachungstool f\u00fcr jegliche Online-Aktivit\u00e4ten der Benutzer. Die Entwickler haben von Google gleichzeitig den Status \u201eVerifiziert\" erhalten und wurden sogar im Chrome Web Store vorgestellt.<\/p>\n

Musst Du dir auf der Zunge zergehen lassen: Das Google Chrome Store-Team behauptet, Sicherheits\u00fcberpr\u00fcfungen f\u00fcr neue Versionen von Erweiterungen durchzuf\u00fchren, indem automatisierte Scans, manuelle \u00dcberpr\u00fcfungen und die \u00dcberwachung auf b\u00f6sartigen Code oder Verhaltens\u00e4nderungen eingesetzt werden. In Wirklichkeit ist das \"wei\u00dfe Salbe\", denn diese Sicherheitsvorkehrungen haben versagt.<\/p>\n

Dieser Fall zeigt, dass selbst mit diesen Schutzma\u00dfnahmen gef\u00e4hrliche Erweiterungen durchrutschen k\u00f6nnen, was auf gravierende Sicherheitsl\u00fccken in den gro\u00dfen Browser-Marktpl\u00e4tzen hinweist. Daher mein Ratschlag: Finger weg von Browser-Erweiterungen, wenn ihr diese nicht selbst programmiert habe, oder diese von den Browser-Entwicklern selbst kommen.<\/p>\n

Weil es gerade passt: Clint Gibler stellt in nachfolgendem Tweet<\/a> die L\u00f6sung ChromeAlone vor, mit der man Chromium-Browser in ein C2-Implant verwandeln kann. Das Teil demonstriert, was alles an Schadfunktionen m\u00f6glich ist. Details finden sich auf GitHub<\/a>, ein Video mit einer DefCon-Session ist hier abrufbar.<\/a><\/p><\/blockquote>\n

\"Chrome<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wer bisher glaubte, dass Microsofts Recall in Punkto \u00dcberwachung an der Spitze liegt, muss umdenken. Sicherheitsforscher sind auf die Erweiterung FreeVPN.One des Google Chrome-Browsers gesto\u00dfen. Diese fertigte Screenshots von allen besuchten Seiten an und sammelte weitere Daten. Die Erweiterung ist … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426,7459],"tags":[406,4328,3836],"class_list":["post-314851","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","category-software","tag-chrome","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314851"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314851\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}