Независимый ИБ-исследователь, известный под ником buchodi, совместно со специалистами компании Include Security проанализировал SDK компании Bright Data — одного из крупнейших поставщиков резидентных прокси в мире. В итоге специалисты пришли к выводу, что SDK компании, встроенный в партнерские приложения, может использовать устройства пользователей как резидентные прокси, и особенно привлекательной платформой для этой схемы являются «умные» телевизоры.
Согласно официальным заявлениям Bright Data (ранее Luminati), компания позиционирует себя как оператора крупнейшей в мире сети резидентных прокси, насчитывающей более 400 млн IP-адресов. Часть этой инфраструктуры формируется за счет SDK, который разработчики-партнеры встраивают в свои приложения. В компании утверждают, что пользователи добровольно соглашаются на участие в этой активности через встроенные в приложения механизмы согласия.
То есть, в отличие от ботнетов и нелегальных прокси-сетей, речь идет не о взломанных устройствах. Однако авторы исследования задались вопросом, насколько осознанным можно считать такое согласие, ведь описания функциональности в приложениях далеко не всегда отражают реальные возможности SDK.
В качестве примера специалисты приводят случай, когда в одном из приложений для Roku пользователям сообщалось, что устройство будет использоваться лишь «время от времени», однако в нем были обнаружены настройки, допускающие передачу до 200 ГБ трафика в месяц. При этом для ряда стран лимиты могут быть значительно выше, а устройство может работать почти до полного разряда батареи.
Основная часть исследования сосредоточена вокруг SDK Bright Data для iOS. Исследователи изучили фреймворк brdsdk.framework, а также наблюдали за его сетевой активностью в течение месяца. Выяснилось, что после запуска приложение получает конфигурацию с серверов Bright Data и открывает постоянное WebSocket-соединение. Через него устройство передает телеметрию о своем состоянии и может получать задания на выполнение HTTP-запросов к сторонним сайтам.
Этот канал обмена командами практически не использует механизмы аутентификации. Более того, в iOS SDK способен направлять часть трафика в обход пользовательского VPN, для чего используются штатные сетевые API Apple, позволяющие явно указать интерфейс для соединения. Также выяснилось, что активность SDK не всегда отображается в инструментах мониторинга, которыми часто пользуются ИБ-команды.
Авторы обращают внимание на настройки, определяющие, когда устройство считается «неактивным». Анализ конфигурации показал, что SDK считает устройство пригодным для работы не только тогда, когда пользователь им не пользуется: передача трафика может продолжаться даже при включенном экране и во время звонков. Основные ограничения связаны лишь с зарядом батареи и объемом занятой памяти.
Отдельная часть исследования посвящена «умным» телевизорам. Дело в том, что такие устройства идеально подходят для построения прокси-сетей: они постоянно подключены к электросети, обычно располагают быстрым и безлимитным подключением к интернету и редко находятся под контролем пользователя.
Следует отметить, что прямого анализа приложений для ТВ авторы не проводили, однако обнаружили публично доступный эндпоинт Bright Data, который возвращал конфигурацию SDK, включая список партнеров компании. Оказалось, что среди них фигурируют компании, работающие на рынке «умных» телевизоров и OTT-сервисов:
- PlayWorks Digital — разработчик игр и приложений для Smart TV, который заявляет о присутствии на платформах Comcast, Sky, Cox, LG, Samsung, Vizio и Roku;
- CloudTV — поставщик ТВ-платформ, интегрированных более чем в сотню брендов телевизоров;
- Longvision Media (LongTV) — OTT-сервис для рынков Гонконга и Малайзии;
- также в списке фигурируют Viber, Supercent, Moonfrog Labs и Hola.
На основании этих данных исследователи предполагают, что схема со встроенным SDK и резидентными прокси могла использоваться и на телевизионных платформах для передачи трафика клиентов Bright Data. Однако отдельно подчеркивается: присутствие какой-то конкретной компании в списке не означает, что ее актуальные приложения используют SDK Bright Data.
Эксперты считают, что рост популярности подобных сервисов обусловлен бумом генеративного ИИ. Поскольку системы защиты от ботов, включая Cloudflare и DataDome, активно блокируют запросы из дата-центров, компании, занимающиеся сбором данных для обучения моделей, все чаще используют сети резидентных прокси для скрапинга, маскируя запросы ботов под обычный пользовательский трафик.
Для защиты исследователи рекомендуют блокировать на уровне DNS домены, которые SDK использует для связи с инфраструктурой Bright Data. Среди них — proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com и clientsdk.brdtnet.com. По словам специалистов, этого будет достаточно, чтобы устройство перестало работать как прокси.
