Koui が Urban VPN Proxy でのデータ収集を明らかに

テルアビブに本拠を置くセキュリティ会社、Koi は、Urban VPN Proxy Chrome 拡張機能に関連した大規模なデータ収集操作を発見しました。この無料の拡張機能には約 600 万人のユーザーがおり、Chrome ウェブストアでは Google の支持を示す「注目」バッジが付けられています。コイの研究者であるイダン・ダルディクマン氏は、主要な AI プラットフォームでユーザーの会話を傍受してキャプチャする隠された「実行者」スクリプトがこの拡張機能にどのように含まれているかについて詳しく説明しました。これらのプラットフォームには、OpenAI の ChatGPT、Anthropic の Claude、Google の Gemini、DeepSeek、および xAI の Grok が含まれます。収集されたデータは、医療上の質問、財務上の詳細、独自のコード、個人的なジレンマなど、幅広いユーザーのクエリをカバーします。ダーディクマン氏によると、この情報はマーケティング分析の目的で販売されるという。データ収集は、VPN がアクティブであるかどうかに関係なく、継続的に実行されます。スクリプトはインストール時にデフォルトでアクティブになり、スクリプトを無効にするためのユーザー側のトグルは存在しません。スクレイピングを停止するには、ユーザーは拡張機能を完全にアンインストールする必要があります。 Urban VPN Proxy の開発者である Urban Cyber​​ Security Inc. は、プライバシー ポリシーでこれらの慣行を開示しています。このポリシーには、同社がウェブ閲覧データを提携のデータブローカーであるBiScienceと共有すると記載されている。 BiScience は、この生データを処理して分析情報を作成し、ビジネス パートナーに販売します。対照的に、この拡張機能の Chrome Web Store ページでは、承認されたユースケース以外ではユーザー データが第三者に販売されないと主張しています。また、拡張機能のコア機能と関係のない目的でデータが使用または転送されていないとも主張しています。 Forbes のレポートによると、同じ発行元が、同一の AI 収集機能を備えた少なくとも 7 つの追加の拡張機能を運用していることが示されています。これらのアプリは合わせて 200 万人以上のユーザーにサービスを提供しており、1 つを除くすべてのアプリには Google の「注目」バッジが付いています。ダーディクマン氏は、「これらの拡張機能のいずれかをインストールしている場合は、今すぐアンインストールしてください。2025 年 7 月以降に行われた AI の会話はすべてキャプチャされ、サードパーティと共有されていると想定してください。」と即時行動を促しました。この調査では、ユーザーが同じ発行元や他の発行元の拡張機能のプライバシー ポリシーを調べて、同様のデータ収集許可を取得する必要があることが浮き彫りになっています。

Source: Koui が Urban VPN Proxy でのデータ収集を明らかに