FreeVPN.One avslöjat som spionprogram – skärmdumpar allt du gör

Posted by Av Mikael Anderberg 5 minuters läsning
hacker
Foto: Towfiqu barbhuiya, Unsplash

VPN-tillägg ska handla om integritet och säkerhet. Men i Chrome Web Store har ett av de mest nedladdade VPN-verktygen istället visat sig göra raka motsatsen: spionera på sina användare.

Det handlar om FreeVPN.One, ett tillägg som länge prydts med både ”verifierad”-märkning och featured-placeringi Googles butik. Men enligt en omfattande rapport från Koi Security har tillägget smugit in skadlig kod som i hemlighet tar skärmdumpar på allt du gör – från bankinloggningar och mejl till privata foton.

Så fungerar övervakningen

Koi Securitys analys visar att FreeVPN.One har byggts om steg för steg under våren och sommaren 2025 för att bli mer aggressivt:

  • Automatiska skärmdumpar tas cirka 11 sekunder efter att en sida laddats klart – just när känslig information som lösenord, meddelanden eller dokument hunnit visas.
  • Bilderna skickas sedan till utvecklarens servrar, krypterade med AES-256-GCM och RSA key wrapping, vilket gör trafiken svår att upptäcka vid nätverksövervakning.
  • Tillägget kräver även orimligt breda rättigheter<all_urls>, tabs och scripting. Det gör att det kan injicera kod på varje webbsida du besöker, utan att du märker något.

Även om utvecklaren påstår att funktionen bara används för “misstänkta domäner” har Koi Security dokumenterat att tillägget tar skärmdumpar även på vanliga tjänster som Google Sheets och Google Photos.

Från VPN till spionverktyg – en tidslinje

Det som gör fallet extra oroande är att FreeVPN.One inte alltid betett sig så här. Ursprungligen fungerade det som ett vanligt gratis-VPN. Men i samband med flera uppdateringar under 2025 förändrades allt. Webbsajten KOI som avslöjade FreeVPN.One som ett spionprogram visar den här tidslinjen:

  • April 2025 (v3.0.3): begärde för första gången tillgång till alla webbadresser. Inget spionage ännu, men dörren öppnades.
  • Juni 2025 (v3.1.1): introducerade funktionen AI Threat Detection. Intrycket var ökad säkerhet, men i verkligheten testades skärmdumpsfunktionen på alla sidor.
  • Juli 2025 (v3.1.3): spionaget aktiverades fullt ut. Tillägget började samla in platsdata, enhetsinformation och automatiska skärmdumpar på användarnas surf.
  • Juli 2025 (v3.1.4): utvecklarna lade till avancerad kryptering för att dölja datainsamlingen – men beteendet var redan igång.

Utvecklarens bortförklaringar

När Koi Security kontaktade utvecklaren bakom FreeVPN.One fick de flera motsägelsefulla svar:

  • Skärmdumparna skulle enligt honom vara en del av Background Scanning och bara aktiveras på misstänkta domäner. Men tester visade att även välkända tjänster drabbades.
  • Funktionen skulle enligt uppgift stängas av i framtida versioner, men den är fortfarande påslagen som standard.
  • Utvecklaren hävdade att inga bilder sparas eller säljs – men kunde inte presentera bevis. När mer dokumentation efterfrågades slutade han helt att svara på mejl.

Enligt Koi Security leder domänen som används för datainsamlingen tillbaka till ett enkelt Wix-tema, utan spår av en riktig organisation. Det stärker misstankarna att tillägget drivs av oseriösa aktörer.

Googles misslyckade kontroll

Det mest oroande i sammanhanget är att FreeVPN.One inte bara funnits i Chrome Web Store, utan dessutom haft både featured-status och verifierad badge. Det innebär att Google själva lyft fram tillägget som ett säkert val.

Att skadlig kod kunnat smyga in i flera versioner, under flera månader, utan att upptäckas visar på allvarliga brister i Googles granskningsprocess. Detta väcker frågor om hur pålitliga märkningar som “verified” egentligen är – och hur många andra tillägg som kan dölja liknande beteenden.

Vad står på spel?

Det här fallet sätter fingret på ett större problem:

  • Gratis-VPN och liknande “säkerhetsverktyg” är ofta finansierade på andra sätt än användarna tror – ibland genom just datainsamling.
  • Användarnas integritet hotas direkt när känslig information samlas in utan samtycke.
  • Förtroendet för tilläggsbutiker urholkas när till och med verifierade appar kan visa sig vara skadliga.

Koi Security påpekar att problemet inte bara gäller Chrome – även andra marknadsplatser för kod och tillägg (som VS Code, GitHub och Hugging Face) kan dölja risker.

Sammanfattning

Vad är FreeVPN.One?

FreeVPN.One är ett spionprogram som spionerar på användare genom automatiska skärmdumpar och datainsamling.

Hur många är drabbade?

Tillägget har över 100 000 installationer och var både verifierat och framhävt i Chrome Web Store.

Vad säger utvecklaren?

Utvecklaren har lämnat bristfälliga svar till KOI och undviker nu kontakt.

Varför fanns det skadliga tillägget på Google Web Store?

Google misslyckades att upptäcka problemet, vilket undergräver tilltron till deras säkerhetskontroller.

Taggar
Mikael Anderberg
Visa fler artiklar
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent