Как бесплатные VPN и «скачалки видео» могут перехватывать трафик через ваш браузер

В современном интернете многие пользователи ищут бесплатные инструменты для обхода блокировок, скачивания видео или защиты приватности. Но не всё, что бесплатно, безопасно. В ряде случаев расширения и скрипты, которые обещают лёгкий доступ к VPN или загрузку видео, перехватывают сетевые запросы вашего браузера и отправляют их третьим лицам.

Что перехватывается

Расширения или скрипты типа Urban VPN, Browsec, SaveFrom и YouTube Downloaders могут внедрять в браузер специальные JS-перехватчики.
Запросы в поисковики, все что вы ищите в браузере.

Они отслеживают:

XHR-запросы (XMLHttpRequest)
запросы к серверу, которые делают сайты и расширения.

fetch-запросы (window.fetch)
современный способ получения данных с сервера.

Видео-потоки
URL видео, качество, иногда даже тело запроса POST.

Другие сетевые данные
посещаемые страницы, загруженные ресурсы, иногда cookies (в редких случаях).

То есть любой сайт, который вы открываете, может быть «подсмотрен» через ваш же браузер.

Как это работает в скриптах

Пример типичного механизма (упрощённо):

Перехват XMLHttpRequest.open и send:

Код

const originalXHR = XMLHttpRequest.prototype.open;
XMLHttpRequest.prototype.open = function() { ... }

Перехват fetch:

Код

const originalFetch = window.fetch;
window.fetch = function(...args) { ... }

Отправка данных через window.postMessage или сторонний сервер:

Код

window.postMessage({url: requestURL, type: contentType}, "*");

То есть расширение видит весь трафик, который проходит через браузер, и может его куда-то отправлять.

Какие расширения и бесплатные VPN делают это

Urban VPN бесплатный VPN, который использует трафик пользователей как прокси для других. Внедряет UrbanSniffer.

Hola VPN похожий механизм, пользователи становятся частью сети.

SaveFrom.net / Save4k / YouTube Downloader видео-перехватчики, собирают URL и данные о потоках.

Бесплатные «YouTube Downloader Lite» и другие ютуб-расширения внедряют снифферы для определения видео.

Особенность: чем бесплатнее расширение, тем выше шанс, что оно собирает трафик.

Зачем это делают

Монетизация трафик пользователя может использоваться для рекламы или перепродажи.

Сбор статистики данные о том, что люди смотрят, куда заходят.

Прокси для других пользователей в случае Urban/Hola трафик идёт через ваш IP.

Иногда это скрытые рекламные или шпионские модули, которые антивирусы называют RiskTool или UrbanSniffer.

Как это выглядит на практике

Антивирус может прислать сообщение типа:

Код

not-a-virus:HEUR:RiskTool.Script.UrbanSniffer.gen

В браузере появляются вылеты страниц.

Появляются файлы типа traffic.js в папке расширений.

Конфликты между несколькими VPN и видео-загрузчиками браузер крашится.

Как защититься

Удалять ненужные расширения

Видео-загрузчики

Бесплатные VPN с сомнительной репутацией

Оставлять только проверенные VPN

Browsec, ProtonVPN, Windscribe безопаснее

Urban VPN и Hola потенциально небезопасны

Проверять антивирус

Если видит UrbanSniffer — это сигнал, что сниффер активен

Изучать скрипты

Можно переписать traffic.js или аналогичный скрипт, убрать отправку данных

Не использовать несколько VPN одновременно

Конфликт перехватчиков вылеты и лаги браузера

Вывод

Бесплатные расширения и VPN часто скрыто собирают сетевой трафик

Они могут перехватывать запросы к сайтам, видео-потоки, POST-данные

Антивирусы обычно помечают это как RiskTool или UrbanSniffer

Решение:удалять сомнительные расширения, оставлять проверенные VPN, переписывать скрипты, если хочешь оставить расширение для работы

Это не всегда вирус, но это инструмент, который может быть использован злоумышленниками, поэтому нужно быть внимательным.

Мурчанн

1