VPN-browserextensie met 6 miljoen gebruikers betrapt op onderscheppen van AI-gesprekken
Het gaat om Urban VPN Proxy, een populaire VPN-browserextensie met een uitstekende score die zelf als “Featured” gepromoot wordt, wat natuurlijk meteen vertrouwen schept. De Chrome-versie is ongeveer 6 miljoen keer geïnstalleerd, de Edge-versie nog eens 1,3 miljoen keer.
Veel gebruikers dus, en van die gebruikers worden sinds een aantal maanden stiekem gesprekken met AI-chatbots als ChatGPT, Gemii, Copilot, Claude, DeepSeek, Grok, Meta AI en Perplexity onderschept en gebruikt voor dubieuze doeleinden, zo blijkt uit een rapport van Koi.
Automatische update
Urban VPN Proxy wordt gepromoot voor veilige VPN-toegang tot eender welke website en voor het deblokkeren van bepaalde content. De extensie is bedoeld om de online identiteit van gebruikers te beschermen, maar in juli werd met versie 5.5.0 een automatische update doorgevoerd waardoor de extensie plots AI-gesprekken begon te onderscheppen.
Concreet werd via de update een script toegevoegd dat geactiveerd wordt telkens een gebruiker aan de slag gaat met een AI-chatbot. Het script zet zich dan tussen de gebruiker en de AI-chatbot en registreert het hele gesprek, aangevuld met nog wat extra metadata die handig is voor analyse. De verzamelde gegevens worden vervolgens naar servers van Urban Cyber Security Inc, de ontwikkelaar van de extensie, gestuurd.
Het verzamelen van deze data werd na de update standaard ingeschakeld, wat nog maar eens het gevaar van automatische updates bij extensies aantoont. Eens ze goedgekeurd zijn, blijkt er nog maar weinig controle plaats te vinden en dat is een recept voor heel wat problemen. Onlangs bleek nog dat op die manier plots spyware werd toegevoegd aan enkele populaire browserextensies en hoe dat lange tijd onder de radar kan blijven.
Gebruikers misleid
Voor de volledigheid moeten we wel meegeven dat in het privacybeleid van Urban VPN Proxy verwezen wordt naar het verzamelen van AI-data, zij het op een nogal misleidende wijze. Zo is er sprake van analyses in het kader van marketing en het verzamelen van de data wordt ook gekoppeld aan het verzekeren van een veilige surfervaring. Bovendien zouden gegevens geanonimiseerd worden als ze voor bepaalde doeleinden verwerkt zouden worden, ook door derde partijen.
Op zich zou je hier als gebruiker nog akkoord mee kunnen gaan, maar in de praktijk zit er een stevig luchtje aan. Zo wordt gesteld dat de AI-data monitoren nodig is om tegemoet te kunnen komen aan een optionele beveiligingsfunctie die gebruikers waarschuwt wanneer ze persoonlijke gegevens met een AI-chatbot delen. Hoewel deze functie op zich optioneel is, worden de AI-gegevens hoe dan ook verzameld, of deze functie nu ingeschakeld is of niet, en ironisch genoeg worden daarbij dus ook persoonlijke gegevens doorgespeeld aan Urban Cyber Security Inc, terwijl hun extensie net moet vermijden dat gebruikers hun privégegevens zomaar te grabbel gooien.
Bovendien is een van de derde partijen waar deze data mee gedeeld wordt BIScience, dat niet toevallig ook eigenaar is van Urban Cyber Security Inc en dat zich specialiseert in het gebruik van rauwe, niet anonieme data om inzichten te creëren voor commercieel gebruik. Deze inzichten worden ook gedeeld met zakenpartners. Begin dit jaar kwam het bedrijf ook al in opspraak omdat het met een misleidende privacyverklaring de browseractiviteit van gebruikers verzamelde. Het zou partners ook voorzien van tools die het mogelijk maken zulke data te verzamelen en met hen te delen.
Gevaarlijk patroon
BIScience lijkt dus misbruik te maken van onvolmaaktheden rond browserextensies om stiekem data van gebruikers te onderscheppen en te gebruiken voor commerciële doeleinden, veelal zonder dat die gebruikers zelf van iets weten.
Ook andere extensies van hetzelfde bedrijf vertonen datzelfde gevaarlijke patroon, waarbij een aanvankelijk onschuldige extensie plots wordt omgevormd tot een stiekeme dataverzamelaar. Het gaat om 1ClickVPN Proxy, Urban Browser Guard en Urban Ad Blocker.
Verspreid over Chrome en Edge hebben deze extensies in totaal 8 miljoen gebruikers. Met uitzondering van Urban Ad Blocker voor Edge werden ze ook allemaal als “Featured” gepromoot, waardoor ze goedkeuring van Google en Microsoft lijken te hebben.
