Половина приложений для Samsung и LG Smart TV может превращать телевизоры в прокси-узлы

Исследователи Spur Intelligence разобрали 6 038 приложений для телевизоров LG и Samsung и нашли в 2 058 из них компоненты домашних прокси. Такие модули позволяют направлять сторонний интернет-трафик через обычные пользовательские IP-адреса. 

Речь идёт о приложениях для LG webOS и Samsung Tizen.. Исследователи искали SDK — готовые программные модули, которые разработчики встраивают в приложения для монетизации. Пользователь видит заставку, часы, простую игру, аквариум на экране или утилиту, а внутри приложения может находиться код для подключения устройства к прокси-сети.

Spur проверяла сами пакеты. Их скачивали, распаковывали и анализировали на наличие известных компонентов, связанных с Bright Data, Massive и Honeygain/Oxylabs. 

Residential proxy — это прокси через домашний интернет-адрес. Сайты видят такой запрос как трафик от обычного пользователя. Такие сети используют для проверки рекламы, парсинга открытых страниц, мониторинга цен, локализации выдачи и других задач. Проблема в том, когда владелец устройства плохо понимает, что именно разрешил, сколько трафика отдаёт и кто пользуется его IP-адресом.

В исследовании указано, что 367 приложений были связаны с Bright Data, Bright Data Ltd или Bright SDK. Honeygain UAB, связанная с Oxylabs, фигурировала как издатель 16 приложений. Остальные находки относились к другим SDK и разработчикам. В выборке встречались простые игры, скринсейверы, часы, фоновые приложения и бытовые утилиты.

Сами прокси-сети обычно строят модель вокруг согласия пользователя. Человек получает бесплатное приложение, меньше рекламы или иной бонус, а взамен разрешает использовать часть интернет-соединения. Но в случае когда это приложение для ТВ, пользователь редко проверяет, какие процессы работают после закрытия приложения, какие домены открывает устройство и почему роутер показывает лишний трафик.

Smart TV удобны для такой модели. Они почти всегда подключены к Wi-Fi или кабелю, годами стоят в одной сети, редко попадают в список «опасных» устройств и обычно не имеют привычных для компьютера средств контроля. 

Отдельный риск связан с репутацией IP-адреса. Если сторонний клиент прокси-сети активно собирает данные, обходит ограничения сайтов или ведёт себя подозрительно, внешние сервисы видят запросы с домашнего адреса владельца телевизора. В лучшем случае это заканчивается капчами и временными блокировками. В худшем — домашний IP попадает в рискованные списки, а пользователю потом приходится разбираться, почему сервисы относятся к его подключению как к подозрительному.

Также в домашней сети телевизор часто стоит рядом с роутером, принтером, NAS, камерами, ноутбуками и умными колонками. Если прокси-SDK или инфраструктура провайдера прокси работают с ошибками, появляется риск доступа к внутренним адресам. Spur отмечает, что у Bright Data были блок-листы для частных IP-диапазонов. Для локальных образцов Massive и Honeygain/Oxylabs аналогичные блок-листы исследователи не нашли.

История с Bright Data обсуждается не впервые. Ранее исследователи разбирали SDK, который мог превращать устройства в узлы сети для сбора открытых веб-данных. Компания продвигала модель с пользовательским согласием и заявляла, что её сеть используется для законных задач: кибербезопасности, исследований, мониторинга открытых данных, проверки рекламы и бизнес-аналитики. Одновременно платформам пришлось реагировать на сам класс таких SDK. Amazon прямо запрещает приложения, которые предоставляют прокси-сервисы третьим лицам. Roku ограничила использование Bright SDK и похожих решений. У LG и Samsung исследователи не нашли сопоставимых публичных правил для магазинов Smart TV.