Бесплатный VPN оказался слишком любопытным

Кнопка «включить VPN» может быть не такой простой

Браузерные VPN-расширения выглядят максимально безобидно. Маленькая иконка рядом с адресной строкой, список стран, большая кнопка подключения. Нажал - сайт открылся через другой сервер. Все просто. Но проблема в том, что расширение для браузера - это не просто переключатель IP-адреса. Это программа, которая живет внутри Chrome и может получить доступ к очень чувствительным частям браузера. В случае с Troywell VPN исследователи обратили внимание именно на это: набор разрешений у расширения оказался настолько широким, что обычному пользователю стоит остановиться и спросить себя: «а что именно я только что пустил в браузер?» Разбор показал, что Troywell VPN может работать не только как прокси для трафика. По списку разрешений оно получает доступ к вкладкам, сетевым запросам, cookie, настройкам приватности, локальному хранилищу, уведомлениям и выполнению скриптов на страницах. Это уже не уровень «поменять страну подключения». Это уровень «видеть и менять многое из того, что происходит в браузере».

Почему браузерный VPN не равен обычному VPN

Системный VPN работает на уровне устройства. Он перенаправляет трафик программ через зашифрованный туннель и обычно влияет на весь компьютер или смартфон. Браузерное расширение устроено иначе. Оно работает внутри браузера и управляет только тем, что происходит в нем. Иногда это удобно: не нужно ставить отдельную программу, не нужно разбираться с настройками сети, все включается в два клика. Но у этой простоты есть цена. Чтобы расширение могло перенаправлять трафик, оно просит доступ к сетевым механизмам браузера. Чтобы понимать, какие страницы открыты, оно просит доступ к вкладкам и навигации. Чтобы встраивать свои элементы, показывать рекламу или менять поведение сайтов, оно может просить право выполнять скрипты. По отдельности каждое разрешение можно объяснить. Вместе они складываются в очень мощный набор возможностей.

Что именно запросило расширение

В manifest-файле Troywell VPN указаны разрешения, которые дают расширению широкий контроль над браузерной активностью. Среди них:

• tabs - доступ к вкладкам;
• webRequest - работа с сетевыми запросами;
• webRequestAuthProvider - участие в обработке авторизации сетевых запросов;
• management - доступ к управлению расширениями;
• webNavigation - отслеживание переходов по страницам;
• storage и unlimitedStorage - хранение данных локально без обычных ограничений;
• proxy - управление прокси-настройками;
• privacy - доступ к настройкам приватности браузера;
• cookies - работа с cookie сайтов;
• scripting - выполнение JavaScript-кода на страницах;
• declarativeNetRequest и связанные разрешения - управление правилами сетевых запросов.

На человеческом языке это значит вот что: расширение может видеть, куда вы переходите, какие запросы делает браузер, какие вкладки открыты, какие cookie доступны, и при определенных условиях может вмешиваться в работу страниц.

Самое чувствительное место - cookie

Cookie часто воспринимаются как что-то скучное из баннера «мы используем файлы cookie». На деле это один из ключевых элементов вашей авторизации в интернете. Когда вы заходите в почту, интернет-магазин, соцсеть или личный кабинет, сайт сохраняет сессионные данные. Благодаря им вам не нужно вводить пароль при каждом переходе на новую страницу. Браузер просто подтверждает сайту: да, это тот же пользователь, он уже вошел. Если расширение получает доступ к cookie, это становится серьезной зоной риска. В плохом сценарии такие данные могут помочь понять, где пользователь авторизован, какие сервисы посещает и как устроена его активность внутри браузера. Важно: наличие разрешения еще не доказывает кражу данных. Но оно показывает уровень доступа. А в безопасности уровень доступа решает очень многое. Простая аналогия: одно дело дать курьеру код от подъезда. Другое - ключ от квартиры, шкафов и сейфа. Может быть, он честный. Но вы все равно должны понимать, что именно отдали.

Расширение может видеть маршруты пользователя

Разрешения tabs и webNavigation позволяют отслеживать активность вкладок и переходы между страницами. Это не обязательно означает запись всей «истории браузера» в привычном смысле, но технически расширение может видеть много событий: какие сайты открываются, когда загружаются страницы, какие URL появляются во вкладках. Для рекламных и аналитических систем это ценные данные. По ним можно понять интересы пользователя, рабочие сервисы, банки, маркетплейсы, новостные сайты, учебные платформы, корпоративные инструменты. Один сайт сам по себе может ничего не говорить. Но цепочка переходов уже превращается в цифровой портрет. Утром - почта и календарь. Потом - банк. Затем - маркетплейс, медицинский сервис, рабочий таск-трекер, сайт с вакансиями, форум по ремонту, личный кабинет провайдера. Все это вместе рассказывает о человеке больше, чем он обычно готов отдавать бесплатному расширению.

А еще оно может вмешиваться в страницы

Разрешение scripting дает расширению возможность выполнять JavaScript на страницах. Это нужно многим легитимным расширениям: переводчикам, блокировщикам рекламы, менеджерам паролей, инструментам для заметок и скриншотов. Но в руках слишком любопытного VPN-расширения такая возможность выглядит тревожно. JavaScript на странице может менять интерфейс, добавлять элементы, подменять поведение кнопок, собирать данные из формы или отслеживать действия пользователя. Снова важный нюанс: само разрешение не равно атаке. Но оно расширяет поверхность риска. Чем больше прав у расширения, тем выше потенциальный ущерб, если разработчик действует недобросовестно, сервер управления будет взломан или обновление расширения окажется вредоносным.

Бесплатность почти всегда чем-то оплачивается

Бесплатный VPN звучит приятно. Особенно когда установка занимает меньше минуты. Но инфраструктура VPN не бесплатна для владельца сервиса. Серверы, трафик, поддержка, разработка, обновления, модерация, платежи за хостинг - все это стоит денег. Значит, сервис должен зарабатывать иначе. Вариантов немного:

• показывать рекламу;
• продвигать партнерские предложения;
• собирать аналитику;
• продавать расширенные функции;
• использовать бонусные и «наградные» механики;
• монетизировать поведение пользователей.

В случае Troywell VPN внимание привлекла система согласия, где пользователь принимает участие в программе с рекламными материалами и внутренней механикой вознаграждений. Для обычного человека такой экран часто выглядит как формальность. Нажал «согласен» и пошел дальше. Но именно в этот момент пользователь может включить не только VPN-функцию, а целый набор дополнительных сценариев: рекламу, аналитику, трекинг активности, уведомления, фоновые задачи. И тут главный вопрос не в том, что реклама сама по себе плохая. Вопрос в прозрачности. Пользователь должен понимать, что именно включается вместе с красивой кнопкой.

Почему «я ничего важного не делаю» не работает

Многие относятся к таким рискам спокойно: ну увидит расширение пару сайтов, и что? Я не чиновник, не банкир, не знаменитость. Это опасная логика. Большинство атак и утечек не начинается с интереса к конкретному человеку. Они начинаются с массового сбора данных. Чем больше информации можно собрать дешево и автоматически, тем ценнее такая база. Даже обычная браузерная активность может содержать:

• рабочие сервисы;
• личные кабинеты;
• адреса почты;
• финансовые сайты;
• медицинские платформы;
• учебные порталы;
• внутренние панели компаний;
• ссылки на документы;
• токены в URL;
• следы авторизации.

Отдельно стоит помнить про корпоративные устройства. Если сотрудник ставит бесплатное VPN-расширение в рабочий браузер, проблема перестает быть личной. Расширение может видеть не только развлекательные сайты, но и рабочие системы.

Как отличить нормальное расширение от подозрительного

Полной гарантии не даст ни один чек-лист, но есть признаки, которые должны насторожить.

Слишком много разрешений

VPN-расширению действительно может понадобиться доступ к proxy и сетевым настройкам. Но если рядом появляются cookie, scripting, управление расширениями, доступ ко всем сайтам и неограниченное хранилище, стоит внимательно изучить, зачем это нужно.

Непонятная монетизация

Если сервис бесплатный, но не объясняет, на чем зарабатывает, это красный флаг. Хороший продукт обычно честно говорит: вот бесплатный тариф, вот платный, вот реклама, вот ограничения.

Агрессивные уведомления и бонусы

Игровые механики, «алмазы», награды, всплывающие предложения и постоянные уведомления часто означают, что пользователь для продукта не только клиент, но и источник поведенческих данных.

Нет нормальной документации

У расширения должны быть понятные правила обработки данных, политика приватности, сайт разработчика, контакты поддержки и внятное описание функций. Если вместо этого только пара рекламных фраз, лучше не рисковать.

Мало доверия к разработчику

Проверьте, кто выпустил расширение, какие еще продукты у разработчика, сколько лет оно существует, есть ли независимые обзоры, как отвечают на жалобы, не было ли резких изменений владельца.

Что сделать прямо сейчас

Если вы уже ставили бесплатные VPN-расширения, не нужно паниковать. Лучше спокойно проверить браузер.

1. Откройте список расширений Chrome.
2. Удалите все, чем не пользуетесь.
3. У подозрительных расширений проверьте разрешения.
4. Отключите доступ «на всех сайтах», если он не нужен.
5. Проверьте историю входов в важные аккаунты.
6. Смените пароли там, где были подозрительные сессии.
7. Включите двухфакторную аутентификацию.
8. Очистите cookie после удаления сомнительного расширения.
9. Перезапустите браузер.
10. Не ставьте VPN из случайной рекламы и подборок.

Особое внимание - почте. Почтовый аккаунт часто является главным ключом ко всем остальным сервисам. Через него восстанавливаются пароли, подтверждаются платежи и приходят уведомления о входах. Если есть сомнения, лучше сменить пароль от почты и проверить привязанные устройства.

Почему расширения вообще получают такие права

Не все широкие разрешения автоматически плохие. Иногда они нужны для нормальной работы. Блокировщик рекламы должен видеть сетевые запросы, иначе он не поймет, что блокировать. Менеджер паролей должен взаимодействовать со страницами входа. Переводчик должен читать текст страницы. Инструмент для скриншотов должен работать с вкладками. Проблема начинается там, где набор прав не совпадает с обещанной функцией. Если приложение говорит «я просто меняю IP», но просит доступ к cookie, скриптам, вкладкам, навигации и управлению расширениями, это повод задать вопросы. Не обязательно сразу обвинять разработчика. Но точно не стоит нажимать «установить» автоматически. В браузере расширение находится очень близко к пользователю. Оно видит то, что не видит обычный сайт. Поэтому доверять ему нужно примерно так же осторожно, как программе на компьютере.

Что лучше использовать вместо случайного VPN-расширения

Лучший вариант зависит от задачи. Если нужно защитить весь трафик устройства, лучше смотреть в сторону полноценного VPN-приложения с прозрачной политикой приватности, понятной юрисдикцией, независимыми аудитами и нормальной моделью монетизации. Если нужно открыть отдельный сайт через другой регион, браузерное расширение может быть удобным, но выбирать его нужно внимательно. Смотрите не на красивый баннер, а на разрешения, репутацию, отзывы, дату обновления, сайт разработчика и условия использования. Если задача разовая и не связана с важными аккаунтами, можно использовать отдельный браузерный профиль. Это не идеальная защита, но она уменьшает риск смешивания повседневных cookie, рабочих вкладок и экспериментальных расширений.

Главный вывод

История Troywell VPN хорошо показывает старую проблему в новой упаковке: бесплатная кнопка «защитить меня» может сама стать источником риска. Браузер давно перестал быть просто окном в интернет. В нем живут почта, банки, документы, работа, покупки, переписки, личные кабинеты и десятки сессий. Поэтому расширение с доступом к вкладкам, запросам, cookie и скриптам получает не мелкую техническую привилегию, а место почти в центре вашей цифровой жизни. VPN должен уменьшать количество лишних глаз между вами и интернетом. Если вместо этого он добавляет еще одного наблюдателя внутри браузера, это уже не защита, а очень странная сделка. Перед установкой любого расширения стоит потратить минуту на список разрешений. Эта минута может сэкономить часы восстановления аккаунтов, смены паролей и неприятных объяснений, почему «просто бесплатный VPN» видел слишком много.