Los investigadores aplicaron ingeniería inversa al SDK de iOS que Bright Data incorpora en sus aplicaciones para consumidores y documentaron cómo los dispositivos, incluidos los televisores inteligentes siempre encendidos, pueden convertirse en nodos de salida que transmiten el tráfico de web scraping para las empresas de datos. Bright Data se centra en la industria de la inteligencia artificial.
El sucesor de Luminati opera lo que llama la red de proxy residencial más grande del mundo, con más de 400 millones de IP residenciales anunciadas. Parte de ese suministro proviene de este SDK, que se incluye en la aplicación gratuita detrás de una pantalla de suscripción y se describe como un grupo basado en consentimiento de más de 150 millones de IP.
Los hallazgos, publicados por Include Security y el investigador independiente Buchodi el 5 de junio, son importantes porque el raspado se produce desde la IP doméstica del usuario, no desde la IP del cliente. El riesgo inmediato no es el pirateo de cuentas ni el robo de datos. Es decir, la conexión de su hogar y su ancho de banda se utilizarán como la infraestructura de raspado de otra persona.
La televisión conectada es casi ideal en ese sentido. Por lo general, está enchufado, tiene una conexión de alta velocidad, prácticamente no tiene cargos de pago por uso y nunca se ve.
La evidencia técnica más profunda se encuentra en el SDK de iOS. El alcance de Smart TV se basa en el soporte de la plataforma de Bright Data, la lista de socios públicos y los informes previos. Nuestra investigación encontró que el canal de pares que realizaba el trabajo de raspado no tenía autenticación real y, en iOS, ese tráfico pasó por alto la VPN configurada.
Dentro del túnel del muelle
Cuando se abre la aplicación, el SDK se conecta a uno de los servidores de Bright Data y pasa instrucciones sin verificar realmente quién realiza la solicitud. Luego, el servidor puede usar la conexión a Internet de su hogar para indicarle a su dispositivo que recupere páginas de otros sitios web.
Los investigadores descubrieron que los canales que realizaban estas tareas carecían de controles de seguridad normales, que describieron como más débiles que los controles integrados en la mayoría del malware.
En el iPhone, los investigadores descubrieron que este tráfico pasaba por alto la VPN y gran parte del comportamiento de la aplicación no se reflejaba en las herramientas que los equipos de seguridad suelen utilizar para monitorear las aplicaciones. El dispositivo también puede continuar transmitiendo en segundo plano mientras alguien mira la pantalla o atiende una llamada, siempre que la batería no esté baja.
brecha de consentimiento
La pantalla de suscripción no coincide con lo que realmente permite el SDK. En una de las aplicaciones de Roku, Petflix, la pantalla mostraba que el dispositivo y su conexión se utilizaban «a veces».
La configuración que carga el SDK permite hasta 200 GB de tráfico cada mes. Algunos países, incluidos Uzbekistán y Omán, tienen límites mucho más altos, lo que permite que los dispositivos sigan funcionando casi hasta que se agote la batería. El SDK también puede conectar los teléfonos y computadoras de los usuarios que ejecutan aplicaciones de la misma empresa y tratarlos como un solo usuario.
Bright Data publica una lista de socios de aplicaciones en una página que cualquiera puede abrir. Esa lista incluye fabricantes de aplicaciones de TV inteligentes como PlayWorks Digital, CloudTV y Longvision. Los investigadores señalan que estar en la lista solo indica empresas que estuvieron usando Bright Data en algún momento y no indica que sus aplicaciones incluyan actualmente el SDK. Cada uno debe comprobarse individualmente.
Viejos modelos impulsados por las demandas de la IA
Ninguno de ellos es nuevo en su forma, sólo en su escala. Bright Data es el sucesor de Luminati, un servicio de proxy pago que evolucionó a partir de Hola VPN. En 2015, Hola fue sorprendida vendiendo el ancho de banda gratuito de los usuarios a través de Luminati como nodo de salida por 20 dólares por gigabyte. El mismo modelo se está ejecutando actualmente en una caja siempre encendida en mi sala de estar.
Lo que ha cambiado es el comprador. Las defensas anti-bot como Cloudflare y DataDome bloquean los raspadores de las IP de los centros de datos, por lo que los raspadores de IA pasan a través de conexiones residenciales.
Krebs informó en octubre de 2025 que los servidores proxy de botnets como Aisuru estaban facilitando la recopilación de datos de IA a gran escala y que Google desmanteló la red proxy criminal IPIDEA en enero. Estas operaciones secuestran los dispositivos de los consumidores. Según BrightData, los nodos de salida optan por participar a través de una pantalla de consentimiento. Ese consentimiento es la línea divisoria entre los dos, y si tiene sentido es una cuestión abierta.
Lowpass, presentado por The Verge, reveló por primera vez el ángulo de la televisión inteligente en febrero, y este es un desmontaje tecnológico. Desde entonces, Google, Amazon y Roku han restringido los SDK de proxy en segundo plano, y Bright Data ha eliminado estas plataformas, aunque todavía incluye Tizen de Samsung y webOS de LG.
que hacer
Encuentre y bloquee el tráfico fácilmente. En una red doméstica, el paso más sencillo es utilizar una herramienta a nivel de enrutador como Pi-hole o NextDNS para bloquear las direcciones web que utiliza el SDK para conectarse.
Los principales son proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientdk.bright-sdk.com, clientdk.brdtnet.com. Las investigaciones muestran que bloquearlos impedirá que su dispositivo actúe como retransmisión sin afectar los servicios pagos de Bright Data que se ejecutan en otra dirección.
Las empresas que administran teléfonos del personal también pueden buscar aplicaciones impulsadas por el SDK. Hay un problema. Con las conexiones móviles, el bloqueo de la red por sí solo no necesariamente genera tráfico, ya que el tráfico pasa por alto el Wi-Fi de la oficina. Bright Data puede cambiar la forma en que se conecta el SDK en el futuro, en cuyo caso deberá actualizar su lista de bloqueo.
Source link
