FreeVPN.One prend silencieusement des captures d’écran de l’activité des utilisateurs et les transmet à un serveur distant, ce qui augmente les problèmes de perte de données d’entreprise.
Chrome Extension, Freevpn.one, a été trouvé secrètement capturant des captures d’écran des séances de navigation des utilisateurs et les transmettant à un serveur distant sans consentement, selon KOI Security.
L’extension, qui jusqu’à récemment affichait un badge vérifié sur la boutique en ligne Chrome, porte toujours une étiquette «en vedette», signalant qu’il suit les pratiques recommandées pour les extensions de chrome.
Une architecture en deux étapes
L’extension utilise une architecture sophistiquée en deux étapes pour capturer les captures d’écran, a noté le billet de blog.
«Tout d’abord, le script de contenu est automatiquement injecté dans chaque site Web HTTP et HTTPS en raison du modèle large dans le manifeste. Lors du chargement de la page, le script de contenu exécute un déclencheur retardé. Ce code attend exactement 1,1 seconde après l’initialisation de la page, puis envoie un message de messagerie de fond. chrome.tabs.capturevisibletab () », a déclaré Koi Security.
Le VPN propose également une fonctionnalité de «détecteur de menaces d’IA», où le VPN prétend analyser le site à l’aide de l’IA pour l’utilisateur. Mais KOI Security a affirmé qu’une fois la fonctionnalité utilisée, l’extension capture une capture d’écran pleine page, puis la télécharge sur AITD (.) One / analyze.php pour l’analyse côté serveur.
La même chose est divulguée dans la politique de confidentialité de FreeVPN.one stipule qu’elle «peut télécharger des captures d’écran et des URL de la page à leurs serveurs sécurisés». KOI Security a affirmé que «l’interface utilisateur le présente comme un scan local unique, mais la surveillance est déjà bien en cours».
Répondant à KOI Security, FreeVPN.One a expliqué que «la capture de capture d’écran automatique fait partie d’une fonction de balayage d’arrière-plan, qui ne devrait déclencher que si un domaine semble suspect. La numérisation d’arrière-plan a été initialement activée pour tous les utilisateurs par défaut, avec des plans pour la modifier de manière à ce que la mise à jour future nécessiterait un consentement explicite.»
Extensions non gérées exposent les entreprises
De tels incidents mettent en évidence comment les extensions du navigateur non gérées peuvent agir comme des canaux d’exfiltration de données secrètes, exposant des informations sensibles aux entreprises. Les entreprises déploient généralement des VPN licenciés et de qualité sociale qui sont sûres et accompagnées de contrôles de surveillance et d’accès. Mais les employés installent souvent des extensions VPN gratuites à usage personnel.
«Cela constitue une menace majeure pour les industries ayant des effectifs mobiles, éloignés ou hybrides, notamment la finance, les soins de santé, le juridique, la technologie, le conseil et les médias. Pour les employés qui voyagent ou utilisent fréquemment BYOD, les risques sont encore plus élevés car ils peuvent télécharger des VPNS gratuits pour la confidentialité personnelle ou pour contourner les géo-obstacles», a déclaré Pareekh Jain, CEO at Eiirtrend & PAREEKH.
Les organisations ayant des effectifs plus jeunes et avertis peuvent également voir une adoption plus élevée de VPN gratuits, car les employés expérimentent souvent des outils de base en dehors de sa visibilité, a déclaré Manish Rawat, analyste chez TechInsights.
De nombreuses entreprises manquent également de gouvernance formelle des extensions du navigateur. Jain a noté que certaines organisations matures utilisent la gestion des points de terminaison ou les politiques de navigateur sécurisées, mais beaucoup reposent sur les paramètres chrome / bord par défaut. Cela laisse un angle mort majeur car les extensions peuvent être installées sans examen de la sécurité, persistent après avoir devenu malveillant et restent invisibles pour les systèmes de gestion traditionnels de la vulnérabilité.
Les mesures de confinement doivent être rapides et proactives
Pour les principaux responsables de la sécurité de l’information, l’incident souligne la nécessité de pratiques de sécurité plus fortes.
« Les CISO devraient immédiatement commencer la découverte en inventant les extensions à travers les flottes, le classement par des autorisations telles que les API d’accès, de scripts et de capture entièrement entièrement, et les changements de version récents tout en chasse pour la capture d’écran de l’utilisation de l’API et des Beags Sortbound Beacons », a déclaré Amit Jaju, directeur général de la Capture – Inde à Ankura Conseil. « Les efforts de confinement doivent inclure la liste de blocage et la suppression des extensions VPN / Coupon / Search-Helper à haut risque, forçant les déconnexions et la rotation des informations d’identification pour les utilisateurs exposés et la compensation des données du navigateur. »
Jaju a ajouté que les améliorations de la gouvernance nécessitent l’application des listes d’autorisation par défaut via les politiques d’entreprise, la mise en œuvre de l’auto-quarantine sur l’escalade de l’autorisation, la désactivation du mode développeur et le téléchargement latéralement, et la restriction des installations des utilisateurs pour les catégories à risque.
Selon les experts, les entreprises devraient éduquer régulièrement les utilisateurs, souligner les risques associés aux VPN gratuits et étendre les politiques aux entrepreneurs et au BYOD via des navigateurs gérés ou de l’isolement.
