Instalar una extensión VPN en el navegador, ya sea en Chrome o cualquier otro, es algo bastante común y muy sencillo. Basta con ir a la tienda de complementos, buscar alguna que nos interese y agregarlas. Sin embargo, esto puede tener ciertos riesgos si no tomamos precauciones. No obstante, incluso una extensión legítima, que funcione correctamente, puede convertirse en un problema. Es lo que ha ocurrido con este complemento del navegador de Chrome, que era una VPN legítima.
Investigadores de seguridad de Koi Security han publicado un informe técnico el 19 de agosto en el que informaban de cómo la extensión FreeVPN.One había estado espiando durante meses. Se trata de un complemento que llevaba años, desde 2020, funcionando con normalidad en Google Chrome.
La extensión FreeVPN.One ha estado espiando
FreeVPN.One cumplía con lo que podemos esperar de una extensión fiable. Estaba disponible en la tienda de extensiones de Chrome desde 2020, contaba con más de 100.000 descargas y la valoración era de 3,8 sobre 5, con 1110 reseñas, lo cual no está nada mal. Sin embargo, el pasado 15 de abril recibió una actualización a la versión 3.0.3 y ahí empezó el problema.
Tras ese cambio, el desarrollador de la extensión agregó un permiso, el cual permitía que ese complemento accediera a todos los sitios web que visita el usuario que lo tenga instalado. En otras palabras, podía rastrear la navegación y saber todo lo que hacen en Internet, simplemente con tener esta extensión instalada en Chrome.
Según indica Lotan Sery, responsable del informe de seguridad de Koi Security, “en un primer momento, aunque el permiso permitía un acceso más amplio, los scripts de contenido seguían limitados a los dominios del proveedor de VPN. Aún no había espionaje, pero la puerta estaba abierta”.
A partir de ahí, hubo dos actualizaciones más. El pasado 17 de julio, FreeVPN.One se actualizó a la versión 3.1.3. Fue ahí cuando realmente empezó a espiar de forma abierta, al realizar capturas de pantalla de la actividad de los usuarios. Todo ello lo realizaba de forma silenciosa, recopilando información personal y confidencial.
Como puedes ver en la imagen que te dejamos a continuación, está disponible en la tienda oficial de extensiones de Chrome.
Funcionamiento
Esta extensión funciona de forma oculta, realizando automáticamente capturas de pantalla de cada página web que visitan los usuarios, sin su conocimiento ni consentimiento. Utilizan un proceso de dos etapas para inyectar un script de contenido en todos los sitios HTTP/HTTPS mediante amplios permisos.
Está configurado para que tarde 1,1 segundos que permita cargar por completo las páginas, y el script activa un serviceworker (secuencia de comandos ejecutados por el navegador) en segundo plano para realizar una captura de pantalla silenciosa. Esto que obtiene, que es la imagen capturada, la URL de la página, el ID de la pestaña y un identificador del usuario, va directamente a un servidor controlado por el atacante.
Hay que indicar que la víctima, en ningún momento, es consciente de todo este proceso. No ve nada raro en el navegador, ni empieza a ir más lento, ni recibe señal alguna.
Desde Koi Security, después de este descubrimiento, se pusieron en contacto con los desarrolladores de FreeVPN.One. La respuesta que dieron es que utilizan este escaneo en segundo plano exclusivamente en dominios sospechosos, como medida de seguridad. El problema es que, como informan los investigadores de seguridad, esto no se limita únicamente a esos dominios sospechosos, sino que actuaba igual en servicios totalmente fiables, como hojas de cálculo de Google o Google Fotos. Además, los responsables de la extensión dijeron que esas capturas son procesadas brevemente y no se almacenan.
Este incidente pone de manifiesto una vulnerabilidad en el proceso de revisión de la Chrome Web Store. Aunque Google emplea filtros automáticos y manuales, las actualizaciones de extensiones ya existentes, especialmente aquellas que modifican permisos de forma incremental, pueden suponer un problema. Para muchos expertos en ciberseguridad, el sistema debería generar alertas automáticas ante cambios de funcionalidad tan drásticos, como la solicitud de permisos para realizar capturas de pantalla, un mecanismo que en este caso no funcionó a tiempo para proteger a los usuarios.
Elige siempre una buena VPN
Esto nos demuestra, una vez más, la importancia de elegir una buena VPN. Muchas de ellas, especialmente las gratuitas, van a comercializar con los datos de los usuarios. Es su negocio. Van a recopilar información de navegación, de los sitios que visitan los usuarios, para venderlo a terceros y obtener así ingresos.
Desde RedesZone, te recomendamos siempre utilizar VPN que sean fiables. A ser posible, evita las que son gratuitas y las extensiones de navegador, salvo que te informes muy bien y veas que son de fiar. Podemos nombrar algunas opciones que hemos probado, como Surfshark y NordVPN. Son aplicaciones que funcionan muy bien, utilizan cifrados robustos como AES de 256 bits y protocolos como WireGuard y OpenVPN.
En definitiva, cuidado si utilizas una extensión VPN en Chrome. Debes analizar muy bien la procedencia y, en caso de que se trate de FreeVPN.One, debes saber que utiliza mecanismos para espiar a los usuarios.
0 Commentaires