Скрытая угроза: SDK компании Bright Data превращает ваш телевизор в прокси-узел для сбора данных в интересах искусственного интеллекта

information security

Когда речь заходит о развитии систем искусственного интеллекта, большинство пользователей представляют себе массивные дата-центры с серверами. Однако реальный сбор обучающих данных для ИИ всё чаще происходит не в промышленных масштабах, а с помощью домашних устройств - смартфонов, планшетов и даже телевизоров. Компания Bright Data предлагает именно такой подход, и к нему приковано внимание специалистов по информационной безопасности.

Описание

Эта история началась с исследования, проведённого командой Include Security. Специалисты давно работают с искусственным интеллектом - атакуют его, используют и обучают. В ходе работы они обратили внимание на Bright Data, которая продаёт доступ к крупнейшей в мире сети резидентных прокси (промежуточных узлов, использующих IP-адреса реальных пользователей) на 400 миллионов домашних IP-адресов. Пользователи, сами того не осознавая, могут участвовать в этой сети. Всё начинается с установки SDK - набора программных библиотек, встроенных в обычные мобильные приложения.

При первом запуске приложения, в котором есть такой SDK, на экране появляется диалог согласия. Человек нажимает "Разрешить", и его устройство - смартфон, планшет, а теперь и умный телевизор - становится выходным узлом для трафика сторонних клиентов Bright Data. За это разработчики приложений получают деньги, а пользователь - бесплатный доступ к сервису с рекламой. Но цена такого "бесплатного" использования оказывается высокой: владелец устройства теряет контроль над тем, как расходуется его интернет-канал.

Особую опасность это представляет для телевизоров с функцией Smart TV. В отличие от мобильных телефонов, телевизор всегда включён в розетку, постоянно подключён к домашнему Wi-Fi и редко бывает занят активным использованием. Исследователи обнаружили  в конфигурациях Bright Data SDK данные о партнёрах, которые внедряют эту технологию в свои приложения для телевизионных платформ. Среди них PlayWorks Digital Ltd - компания, выпускающая более 400 игр для Smart TV на платформах Roku, LG, Samsung и других, с охватом до 250 миллионов домохозяйств. Ещё один партнёр - CloudTV, чьи приложения предустановлены на телевизорах 125 брендов. Поставщики таких приложений монетизируют устройства пользователей, превращая их в прокси-узлы.

Как именно это работает? Сразу после установки приложения SDK связывается с сервером и получает набор правил. Сервер не требует какой-либо серьёзной аутентификации - достаточно знать идентификатор приложения и версию SDK. Далее открывается постоянное WebSocket-соединение (протокол двусторонней связи через интернет) с сервером, который использует старый корпоративный домен Luminati Networks. Интересная деталь: это соединение не использует стандартные сетевые механизмы, а применяет специальный системный вызов, позволяющий обходить любой работающий на устройстве VPN. Код SDK проверяет, что пакеты идут только через физический интерфейс - Wi-Fi или сотовую сеть, а не через виртуальный туннель. Это делает VPN, настроенный пользователем для защиты приватности, абсолютно бесполезным для этой части трафика.

Критерии, при которых SDK считает устройство "свободным" для передачи чужого трафика, тоже вызывают вопросы. Согласно полученным данным, разрешено ретранслировать данные даже тогда, когда экран устройства включён, а владелец смотрит фильм или листает меню. Единственные ограничения - загрузка центрального процессора не выше 70%, использование памяти не выше 90%, а уровень заряда батареи не ниже 20% (или даже 1%, если устройство находится в Узбекистане или Омане - там лимиты выше). В месяц через один домашний роутер может быть пропущено до 30 гигабайт чужого трафика. При этом в конфигурации присутствует карта "двойного сопряжения", связывающая одну учётную запись на iOS, Windows и macOS - то есть все устройства одного пользователя объединяются в единую сеть без его ведома.

Для обычного человека последствия очевидны: его личный IP-адрес используется для сбора данных с сайтов. Эти данные затем покупают компании, занимающиеся обучением больших языковых моделей ИИ. Современный интернет всё активнее блокирует запросы из дата-центров известных облачных провайдеров, и резидентовые прокси становятся единственным способом обходить защиту Cloudflare и других средств фильтрации. В результате через ваш телевизор может идти загрузка информации с сайтов, которые вы никогда не посещали, и это не нарушает закон - ведь формально вы дали согласие, пусть и не до конца понимая суть.

Как защититься? На уровне домашней сети достаточно заблокировать DNS-запросы к доменам proxyjs.brdtnet.com, proxyjs.luminatinet.com и clientsdk.bright-sdk.com. Те, кто использует глубокую проверку трафика на роутере, могут отфильтровывать TLS-рукопожатия (протокол шифрования соединения) с именами серверов, содержащими *.brdtnet.com или *.luminatinet.com. Для корпоративных сетей подойдёт поиск в установленных приложениях характерных строк BrdWebSocketFacade и BrdNetwork.DNSResolver - их наличие практически гарантирует, что на устройстве работает SDK Bright Data.

Вывод, который напрашивается из этого исследования, неутешителен: пользовательские гаджеты стали не просто источниками личной информации, но и инфраструктурными узлами для чужих бизнес-процессов. С каждым новым "бесплатным" приложением мы можем незаметно терять контроль над своим интернет-соединением. Пора внимательнее читать предупреждения, которые появляются на экране телевизора, и помнить, что даже в выключенном состоянии он может работать на кого-то другого.

Индикаторы компрометации

Domains

  • clientsdk.brdtnet.com
  • clientsdk.bright-sdk.com
  • proxyjs.brdtnet.com
  • proxyjs.bright-sdk.com
  • proxyjs.luminatinet.com

Комментарии: 0