Populaire Chrome-extensie FreeVPN.One blijkt heimelijke spionage-actie te zijn

FreeVPN.One is een Google Chrome-extensie met meer dan 100.000 downloads en zelfs een keurmerk in de Chrome Web Store — dit wekte vertrouwen bij veel gebruikers. Maar een recent onderzoek van beveiligingsbedrijf Koi Security onthult dat de extensie in werkelijkheid gebruikers heimelijk bespioneert.

Wat is er aan de hand?
In versie 3.1.4 van de extensie, uitgebracht in juli 2025, brengt de update zogenaamd verbeterde AES-256-GCM-encryptie met RSA-sleutelverpakking — zogenaamd om de datastroom beter te beschermen. Wat dit echter doet, is het verhullen van de datatransmissie: achter de schermen maakt FreeVPN.One automatisch volledige screenshots van élke bezochte website (met privéfoto’s, berichten, financiële dashboards enzovoort) en stuurt deze door naar servers van de ontwikkelaar — en dat zonder toestemming van de gebruiker.

Deze screenshot-opnamen starten automatisch enkele seconden na het laden van elke pagina, mogelijk gemaakt door scripts die in elke bezochte pagina worden geïnjecteerd en via de chrome.tabs.captureVisibleTab() API worden uitgevoerd, samen met metadata zoals de URL, tab-id’s en unieke gebruikersidentifiers.

Misleidende interface
De extensie adverteert met een "AI Threat Detection"-functie die gebruikers expliciet screenshots laat verzenden wanneer zij dit zelf activeren. Koi Security ontdekte echter dat schermopnames plaatsvinden lang vóór de gebruiker iets hoeft te doen — de interface met AI-dreigingsdetectie is dus slechts een rookgordijn.

Ontwikkelaar geeft reactie — maar overtuigt niet
In versie 3.1.4 stelde de ontwikkelaar dat encryptie is toegevoegd om de datastroom veiliger te maken. Volgens Koi Security verbergt dit echter simpelweg de datatransmissie, terwijl de spionage zelf onverminderd doorgaat.

De ontwikkelaar beweert dat de screenshots bedoeld zijn voor “dreigingsdetectie”. Maar onderzoek toont dat ook ongevaarlijke toepassingen — zoals Google Sheets en fotogalerijen — worden vastgelegd, wat deze uitleg ongeloofwaardig maakt (CyberInsider, Phandroid).

Daarnaast is er geen enkele betrouwbare informatie te vinden over de organisatie achter de extensie; de enige link is naar een eenvoudige Wix-pagina zonder bedrijfsgegevens — alarmbellen alom (CyberInsider, NetmanageIT CTO Corner).

Gevolgen en aanbevelingen

• De extensie is nog steeds beschikbaar in de Chrome Web Store — inclusief verificatiebadge. Dit creëert een vals gevoel van veiligheid.

• Verwijder FreeVPN.One onmiddellijk. Klik in Chrome op het extensie-icoon (rechts van de adresbalk), zoek FreeVPN.One, klik op de drie stipjes ernaast en kies: ‘Verwijderen uit Chrome'.

• Overweeg het wijzigen van je wachtwoorden voor accounts die je gebruikt hebt terwijl de extensie geïnstalleerd was.

• Dit incident toont pijnlijk aan dat zelfs ‘grote’ aantallen downloads en kennelijk officiële badges géén garantie geven voor betrouwbaarheid.

Waarom dit zo gevaarlijk is

VPN's worden vaak gebruikt om je privacy te beschermen — ironisch genoeg brengt FreeVPN.One juist jouw privacy in gevaar. Dit voorbeeld illustreert hoe een extensie die mogelijk aanvankelijk onschuldig leek, kan veranderen in een systematisch spionage-instrument. Vertrouw niet alleen op brede populariteit of badges.

Door: Drifter