Sua TV pode ser um proxy
Pesquisadores da Include Security e o pesquisador independente Buchodi publicaram na quinta-feira (5) uma análise detalhada do SDK que a Bright Data embute em aplicativos gratuitos — e o resultado é perturbador. O código transforma dispositivos de usuários, incluindo TVs inteligentes sempre ligadas, em nós de saída que retransmitem tráfego de web scraping para clientes da empresa. A operação escala para mais de 400 milhões de IPs residenciais, segundo a própria Bright Data.
O risco imediato não é uma conta hackeada ou dados roubados. É o fato de que a sua conexão doméstica e a sua banda larga estão sendo usadas como infraestrutura de terceiros — sem que você tenha clareza sobre isso. E a sua TV inteligente é o alvo ideal: fica ligada na tomada, conectada a uma banda larga rápida, sem limite de dados, e ninguém fica monitorando o que ela faz em segundo plano.
Como o SDK funciona na prática
Quando um app com o SDK da Bright Data é aberto, ele contacta um dos servidores da empresa, que entrega instruções sem verificar de forma robusta quem está pedindo. A partir desse momento, o servidor pode ordenar ao dispositivo que busque páginas de outros sites, usando a conexão de internet residencial do usuário para fazer isso. O canal que carrega essas ordens não tem as verificações de segurança usuais — o pesquisador descreveu os controles como mais fracos que os da maioria dos malwares.
No iPhone, o tráfego do SDK consegue ultrapassar uma VPN configurada no aparelho — um problema de bypass que também preocupa quem depende de VPN para segurança. Grande parte do que o app faz não aparece nas ferramentas que equipes de segurança normalmente usam para monitorar aplicativos. O dispositivo pode continuar retransmitindo dados em segundo plano enquanto alguém assiste TV ou faz uma ligação, desde que a bateria não esteja baixa.
A tela de consentimento engana
A Bright Data diz que seus nós de saída contam com consentimento do usuário, via uma tela de opt-in dentro dos apps. O problema: o que a tela diz não corresponde ao que o SDK permite. Em um app da Roku chamado Petflix, a tela informava que usaria o dispositivo e a conexão “ocasionalmente”. As configurações carregadas pelo SDK permitem até 200 GB de tráfego por mês. Em alguns países, como Uzbequistão e Omã, os limites são ainda mais altos, e o dispositivo é liberado para trabalhar quase até a bateria acabar.
O SDK também consegue vincular o celular de uma pessoa e os computadores que rodam apps da mesma empresa, tratando-os como um único usuário. Isso cria um perfil cruzado de dispositivos que pode ser monetizado de formas que a tela de consentimento jamais menciona — uma prática que levanta questões sérias de privacidade de dados sob a ótica da LGPD.
De Hola VPN à sua sala
O modelo não é novo — só cresceu. A Bright Data é a sucessora da Luminati, o serviço de proxy pago que nasceu dentro do Hola VPN. Em 2015, o Hola foi pego vendendo a banda larga dos usuários gratuitos como nós de saída pela Luminati, a US$ 20 por gigabyte. O mesmo modelo agora roda dentro da caixa sempre ligada na sala de estar.
O que mudou é o comprador. Defesas anti-bot da Cloudflare, DataDome e outras empresas bloqueiam scrapers vindos de IPs de datacenter. Empresas de IA precisam de dados em escala industrial para treinar modelos e contornam essas defesas roteando o tráfego por conexões residenciais. A Bright Data comercializa ativamente sua rede para a indústria de IA. A linha entre um botnet criminosa e uma rede de proxy “consentida” é tênue — e se o consentimento é obtido com telas enganosas, a distinção perde o sentido.
Domínios para bloquear no roteador
O tráfego do SDK é identificável e bloqueável. Em uma rede doméstica, a medida mais eficaz é bloquear os endereços web que o SDK usa para se conectar, com uma ferramenta como Pi-hole ou NextDNS no roteador. Os principais domínios são:
- proxyjs.brdtnet.com
- proxyjs.luminatinet.com
- proxyjs.bright-sdk.com
- clientsdk.bright-sdk.com
- clientsdk.brdtnet.com
Segundo a pesquisa, bloquear esses endereços impede o dispositivo de funcionar como relay sem afetar o serviço pago da Bright Data, que roda em endereços separados. Empresas que gerenciam celulares corporativos também podem escanear apps em busca do SDK. Um porém: em conexão móvel, o tráfego desvia do Wi-Fi do escritório, então um bloqueio de rede nem sempre captura a atividade.
Samsung e LG ainda na mira
Google, Amazon e Roku já restringiram SDKs de proxy em segundo plano em suas plataformas, e a Bright Data abandonou essas plataformas. Mas a empresa ainda lista Samsung Tizen e LG webOS como plataformas suportadas. A Bright Data publica sua lista de parceiros de apps em uma página pública, que inclui fabricantes de apps para TV como PlayWorks Digital, CloudTV e Longvision. Estar na lista só indica que a empresa trabalhou com a Bright Data em algum momento — não que o SDK esteja no app hoje. Cada caso precisaria ser verificado individualmente.
Para o consumidor brasileiro, a mensagem é clara: apps gratuitos para TV inteligente têm um custo oculto que pode incluir o uso silencioso da sua banda larga. Antes de instalar qualquer app gratuito na TV, verifique o desenvolvedor e as permissões. Se o app pede acesso de rede irrestrito ou funciona em segundo plano sem motivo claro, há motivo para desconfiar. Configurar um bloqueio de DNS no roteador doméstico com os domínios listados acima é a proteção mais eficaz e não interfere no uso normal da TV.
| Dado | Valor |
|---|---|
| IPs residenciais na rede Bright Data | 400 milhões+ |
| Pool “consentido” via SDK | 150 milhões+ IPs |
| Limite de tráfego por dispositivo | Até 200 GB/mês |
| Plataformas restritas | Google TV, Amazon Fire TV, Roku |
| Plataformas ainda listadas | Samsung Tizen, LG webOS |
| Tráfego no iOS | Ultrapassa VPN ativa |