Uma extensão maliciosa do Chrome foi descoberta. Recomendado pelo Google, ele drena silenciosamente as conversas de IA de milhões de usuários da Internet. A extensão foi projetada para trocas em chatbots como ChatGPT, Gemini ou Perplexity. Viola as regras estabelecidas pelo Google para proteger os dados de seus usuários.
Os especialistas da Koi Security apontam para uma nova extensão do Google Chrome disponível na Chrome Web Store. Batizado Proxy VPN Urbanoa extensão foi apresentada como uma ferramenta de privacidade baseada em um serviço VPN. Recomendada pelo próprio Google, a extensão teve avaliação de 4,7 estrelas. Com base na opinião positiva dos utilizadores da Internet, a extensão foi instalada mais de 6 milhões de vezes.
Leia também: Alerta vermelho no Google Chrome – uma misteriosa falha de segurança está sendo explorada por hackers
Conversas com IA revendidas
Os pesquisadores descobriram que a extensão permite-se coletar dados do usuárioespecialmente conversas com IA. Quando um internauta acessa o site de um chatbot, como ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity ou Grok, a extensão intervém e ativa códigos maliciosos. Este código é capaz de coletar solicitações enviadas, respostas completas de IA, IDs de conversas, carimbos de data/hora e vários metadados de sessão. Dez plataformas de IA estão na mira de extensões.
Ironicamente, a extensão possui um recurso de “proteção de IA” que supostamente avisa o usuário se ele compartilhar dados confidenciais com um chatbot. Depois que os dados são coletados, eles são embalados e exfiltrados. Um processo em segundo plano compacta essas informações e as envia aos servidores do Urban VPN. Os dados são rápidos revendido para análise de marketing por meio de parceria com a BiScience, empresa especializada em corretagem de dados. Em última análise, as informações são monetizadas sem o consentimento do usuário. É o caso de dados profissionais, informações pessoais e segredos empresariais. Lá “a coleta de dados funciona independentemente da funcionalidade VPN”sublinha Koi. Que “esteja a VPN conectada ou não, a coleta continua continuamente em segundo plano”.
Leia também: Essas 57 extensões do Chrome podem espionar 6 milhões de PCs, desinstale-os com urgência
Uma extensão recomendada pelo Google…
Como dissemos, a prorrogação foi, no entanto, altamente recomendado pelo Google. A página do Urban VPN Proxy foi de fato adornada com a menção “Destaque” do Chrome. Esta menção sugere que foi verificado pelo Google e que atende aos padrões de qualidade. Não é novidade que as funções consideradas maliciosas pela Koi Security não estavam presentes nas primeiras versões da extensão, que foram validadas pelo Google.
Segundo os pesquisadores da Koi, o comportamento malicioso aparece em uma atualização silenciosa lançada em julho de 2025. Sem informar seus usuários, a extensão fez mudanças de grande alcance. Isso é uma dica amplamente difundida que permite aos desenvolvedores inserir funções maliciosas em uma extensão sem que o Google perceba. Há algumas semanas, os mesmos pesquisadores notaram que 145 extensões do Chrome e Edge foram gradualmente transformadas em verdadeiras ferramentas de espionagem. A transformação levou mais de sete anos.
Quem quebra as regras do Google
O Urban VPN Proxy não esconde a coleta de solicitações de IA dos usuários. Na Chrome Web Store, porém, a extensão oculta a revenda das informações coletadas a terceiros. Contudo, trata-seuma violação das regras estabelecidas pelo Google. A gigante de Mountain View proíbe formalmente “as transferências, usos ou vendas de dados de usuários são completamente proibidas, incluindo a transferência ou venda de dados de usuários a terceiros, como plataformas de publicidade, corretores de dados ou outros revendedores de informações”.
“Isso significa que um funcionário do Google revisou o Urban VPN Proxy e concluiu que ele atendia aos seus padrões. Ou esta revisão não se concentrou no código que coleta conversas […] ou ele fez isso e não considerou isso um problema”sublinha a investigação.
Observe que o Urban VPN Proxy não é um caso isolado. Na verdade, mais sete expansões do mesmo editor reutilizam o mesmo código malicioso. Em todos os casos, são VPNs gratuitas, como 1ClickVPN Proxy, Urban Browser Guard ou Urban Ad Blocker. Todas essas extensões coletam dados pessoais e os enviam pela mesma infraestrutura. Posteriormente, são revendidos para fins de marketing e publicidade. A maioria das extensões fixadas pelo Koi também foram recomendadas pelo Google. No total, as extensões maliciosas foram instaladas mais de oito milhões de vezes. Apesar das violações relatadas, as extensões ainda estão disponíveis na Chrome Web Store.
👉🏻 Acompanhe novidades de tecnologia em tempo real: adicione 01net às suas fontes no Google, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.
Fonte :
Segurança Koi