Sempre più utenti si affidano alle estensioni VPN nel proprio browser, tra queste FreeVPN.One si era guadagnata una certa popolarità grazie alla sua semplicità d’uso ed indicata nello store di Google “In primo piano”. Con oltre 100.000 installazioni FreeVPN.One sembrava una scelta affidabile per chi cercava protezione e anonimato durante la navigazione. Tuttavia, recenti indagini condotte da esperti di sicurezza informatica hanno sollevato gravi dubbi sulla reale natura di questa estensione, mettendo in discussione la fiducia che molti utenti Linux e Chrome avevano riposto in essa.
Secondo il rapporto pubblicato da Koi Security, firmato dalla ricercatrice Lotan Sery, FreeVPN.One avrebbe modificato progressivamente il proprio comportamento attraverso aggiornamenti tra aprile e luglio 2025. Inizialmente innocua, l’estensione avrebbe iniziato a catturare schermate delle pagine visitate pochi secondi dopo il caricamento, inviando tali immagini, insieme a URL, ID della scheda e identificatori utente, a server remoti controllati dal presunto sviluppatore.
Escalation di permessi e telemetria: una cronologia inquietante
Il comportamento sospetto non è emerso all’improvviso. L’indagine ha ricostruito una sequenza di aggiornamenti che ha visto l’estensione acquisire permessi sempre più invasivi. Ad aprile, con la versione 3.0.3, è stato introdotto il permesso “<all_urls>”, che consente l’accesso a tutte le pagine visitate. A giugno, la versione 3.1.1 ha cambiato nome in “AI Threat Detection” e ha iniziato a utilizzare script su tutti i siti. Il 17 luglio, con la versione 3.1.3, sarebbero iniziate le catture silenziose, il tracciamento della posizione e la raccolta dell’impronta del dispositivo. Infine, il 25 luglio, è stato aggiunto un sistema di cifratura AES-256 con RSA e un nuovo dominio per rendere più difficile il tracciamento dell’esfiltrazione dei dati.
Nonostante queste modifiche, l’estensione ha mantenuto il suo status di “In primo piano” nella Chrome Web Store, sollevando interrogativi sulla capacità di controllo e revisione da parte di Google. La politica di privacy, inoltre, è stata modificata più volte, con sezioni che contraddicono le dichiarazioni ufficiali. In particolare, mentre si afferma che le catture avvengono solo se l’utente attiva l’opzione AI Threat Detection, altre parti indicano che i dati vengono comunque raccolti per costruire una base di intelligence sulle minacce, anche senza consenso esplicito.
Identità opaca e mancanza di trasparenza
Uno degli aspetti più preoccupanti riguarda l’identità del responsabile dell’estensione. L’unico contatto disponibile è un indirizzo email che rimanda a un sito Wix poco professionale, associato a Phoenix Software Solutions. Quando gli investigatori hanno richiesto prove di legittimità, come un profilo aziendale o un repository di codice, la comunicazione si è interrotta. Questo comportamento alimenta ulteriori dubbi sulla serietà del progetto e sulla reale intenzione di proteggere la privacy degli utenti.
Nel frattempo, il sito ufficiale di FreeVPN.One appare scarno e poco informativo. I blog collegati offrono contenuti di scarsa qualità e il supporto si limita a un semplice indirizzo email. Nonostante ciò, l’estensione continua a godere di una buona visibilità nei motori di ricerca, probabilmente grazie a una strategia SEO aggressiva e alla popolarità accumulata prima delle rivelazioni.
Cosa significa tutto questo per gli utenti Linux
Per gli utenti Linux che utilizzano Chrome o Chromium, questa vicenda rappresenta un campanello d’allarme. La fiducia nelle estensioni VPN gratuite (e a mio avviso anche a quelle a pagamento) deve essere accompagnata da una verifica attenta dei permessi richiesti, delle politiche di privacy e dell’identità dello sviluppatore. In un ecosistema open source, la trasparenza è fondamentale, e strumenti che operano in modo opaco non dovrebbero trovare spazio.
Se hai installato FreeVPN.One, è consigliabile rimuoverla immediatamente, cancellare i dati di navigazione, controllare le estensioni sincronizzate con il tuo account Google e modificare le credenziali dei servizi sensibili. Inoltre, è utile segnalare l’estensione a Google per accelerare una revisione e valutare alternative con audit pubblici e una reputazione consolidata.
