Chrome 擴充功能商店裡有很多免費 VPN,但不是每一款都很安全,像最近就傳出有一款擁有超過 10 萬用戶的 FreeVPN.One,被揭露會截取用戶瀏覽的畫面,並發送給不知名的開發者,這就對安全隱私造成非常大的隱憂。如果你有使用這款,我們強烈建議停止使用。
圖片來源:Koi Security
擁有超過 10 萬用戶的 Chrome 熱門 VPN 擴充功能,被爆出會截取用戶瀏覽的每個網頁
FreeVPN.One 已經被安裝超過 10 萬次,甚至獲得 Google 的精選,因此對於很多用戶來說,可能會覺得這款是很安全的 VPN。不過國外一間資訊安全科技公司 Koi Security 最近發布一則報告,內容就指出 FreeVPN.One 侵犯用戶隱私,不推薦使用:
Koi Security 表示,雖然 VPN 擴充功能都需要代理和儲存等權限才能實現核心功能,但這款擴充功能要求的權限更多,讓它可以廣泛地收集用戶資料,即使隱私政策有提到,不會收集或使用你的資料。
FreeVPN.One 還要求 <all_urls>、tabs 和 scripting 這三個權限,剛好就開啟全面監控的大門。
Koi Security 展示它的運作方式。當用戶在不同網頁之間切換時,這個擴充功能會執行一連串可疑的動作,像是載入任何網頁幾秒後,背景會觸發一個抓取截圖的動作,並傳送到 aitd[.]one/brange.php,然後附上該網頁的網址、分頁 ID,以及使用者唯一識別碼:
圖片來源:Koi Security
這些動作都在背景中默默完成,用戶完全不會知道。
Koi Security 發現到 FreeVPN.One 過去確實就只是 VPN,沒有其他威脅隱私的內容,不過從 2025 年 4 月的 v3.0.3 版本開始,先加入能存取用戶所有網站的 <all_urls> 權限,2025 年 6 月的 v3.1.1 版本新增 scripting 權限,2025 年 7 月 17 號的 v3.1.3 版本就開始全面監控。
為了避免被偵測到,在 2025 年 7 月 25 日的 v3.1.4 版本中,再度新增 AES-256 加密、RSA 封裝,並改用 scan.aitd.one 子網域,代表說原本曾經是一個讓人信賴的 VPN,如今變成監控網路行為的工具。
Koi Security 也有聯繫開發者,證實有自動截圖這個功能,而且是對所有人啟用,未來才會改成使用者同意。雖然開發者強調說只會在可疑網域觸發,但他們實測在即便是 Google 試算表和 Google 相簿也觸發了。
在這份報告中還有提到其他開發者的說法,以及 Koi Security 的看法,有興趣的人可以前往閱讀。
網絡上有很多免費 VPN 都是由獨立開發者所製作,雖然不是說每一款都不安全,但大多數在隱私政策的部分都沒有寫的清楚,甚至有些還是使用完全不相關的服務,所以對於有 VPN 需求的用戶來說,我們還是比較推薦使用一些比較知名公司的 VPN。