Em um mundo digital onde a privacidade é um bem cada vez mais escasso, milhões de usuários recorrem a Redes Privadas Virtuais (VPNs) buscando anonimato e segurança. No entanto, uma descoberta alarmante serve como um lembrete brutal de que nem tudo que reluz é ouro, e que até mesmo ferramentas que prometem proteção podem carregar as intenções mais sombrias. Uma extensão de VPN gratuita, destacada e verificada pelo próprio Google na Chrome Web Store, foi exposta realizando uma das violações de privacidade mais invasivas imagináveis: capturar silenciosamente screenshots de tudo o que o usuário faz.
A extensão, chamada FreeVPN.One, operava sob uma fachada legitimada por mais de 100 mil instalações e um cobiçado selo “Featured” (Em Destaque) do Google. O que começou como um serviço de VPN aparentemente comum transformou-se, por meio de uma série de atualizações sorrateiras, em um sofisticado mecanismo de vigilância.
Um pesadelo de privacidade
O modus operandi do FreeVPN.One é ao mesmo tempo engenhoso e aterrador. Tudo gira em torno de uma funcionalidade adicionada recentemente e batizada com um nome que soa inofensivo e moderno: “detecção de ameaças por IA”. Esta foi a cortina de fumaça perfeita para mascarar atividades maliciosas.
O processo de espionagem é acionado automaticamente. Um script injetado em toda e qualquer página web visitada aguarda 1,1 segundos após o carregamento, tempo suficiente para que todo o conteúdo, incluindo dados sensíveis, seja renderizado na tela. Após este breve intervalo, uma mensagem interna é enviada para um “service worker” em segundo plano, que então utiliza uma API privilegiada do Chrome, a chrome.tabs.captureVisibleTab(), para capturar uma imagem completa da aba do navegador.
A violação não para por aí. Este screenshot, que pode conter desde planilhas corporativas confidenciais e extratos bancários até mensagens privadas e fotografias pessoais, é então criptografado e enviado para servidores de terceiros, localizados no domínio aitd[.]one. Tudo isso ocorre sem qualquer aviso ou interação do usuário, transformando uma ferramenta de privacidade em um canal de roubo de dados.
A evolução de um cavalo de Troia
O aspecto mais perturbador desta história é a forma gradual e calculista como a extensão evoluiu de um serviço legítimo para um spyware. A tática foi de “frog boiling” (ferver um sapo lentamente), onde mudanças drásticas são introduzidas gradualmente para não levantar suspeitas.
A sequência de eventos é reveladora. Em abril de 2025, uma atualização solicitou a permissão <all_urls>, concedendo à extensão acesso a todo e qualquer site que o usuário visitasse. Em junho, veio a permissão de scripting, permitindo a injeção dinâmica de código. Finalmente, em julho, a armadilha foi armada: o código para captura de screenshots foi implementado e o domínio aitd[.]one foi registrado, tornando-se o destino final dos dados roubados. Uma atualização posterior ainda adicionou uma camada de criptografia AES-256 aos dados exfiltrados, tornando a detecção por monitoramento de tráfego de rede extremamente difícil.
Quando confrontado pelos pesquisadores de segurança da Koi Security, que originalmente descobriram a ameaça, o desenvolvedor ofereceu explicações frágeis. Alegou que as capturas de tela só ocorriam em domínios “suspeitos”, mas os pesquisadores documentaram a extensão espionando atividades em sites como Google Sheets e Google Photos, dificilmente classificáveis como maliciosos.
Argumentou ainda que a varredura em segundo plano foi habilitada “por acidente” e que as screenshots não eram armazenadas, apenas analisadas brevemente. No entanto, uma vez que os dados deixam o dispositivo do usuário, não há como verificar independentemente essa alegação. A credibilidade do desenvolvedor desintegrou-se ainda mais quando se descobriu que o domínio da empresa associada (phoenixsoftsol.com) levava a uma página template gratuita do Wix, sem qualquer indício de uma operação legítima por trás dela.
Um alerta para todos
Este incidente vai muito além de um único desenvolvedor mal-intencionado. Ele expõe falhas críticas no processo de curadoria e revisão das lojas de aplicativos e extensões, mesmo em uma das maiores plataformas do mundo, administrada pelo Google. Uma extensão verificada e destacada, que passou pelos supostos rigorosos processos automatizados e de revisão humana, conseguiu operar como um spyware.
Serve também para reforçar o velho adágio do mundo digital: “Se o produto é grátis, você é o produto”. A busca por privacidade não deve levar à concessão cega de permissões abusivas. É imperativo que os usuários revisem criticamente as permissões solicitadas por qualquer extensão, desconfiem de funcionalidades que soam milagrosas demais e priorizem ferramentas de desenvolvedores com reputação sólida e transparente.
A privacidade online é uma batalha constante, e esta descoberta é um claro aviso de que a vigilância pode vir de quem promete nos proteger.Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!