Smart TVs viram exit nodes: SDK da Bright Data transforma 400 milhões de dispositivos em proxies para scraping de IA

Pesquisa publicada em 5 de junho pela Include Security expõe como o SDK da Bright Data, embarcado em apps gratuitos de iOS e em smart TVs, transforma 400 milhões de dispositivos residenciais em exit nodes de uma rede de proxies que alimenta a indústria de IA — e demonstra que o canal usado para repassar jobs de scraping não tem autenticação real e, em iPhones, ignora a VPN configurada pelo usuário.

O que aconteceu

O pesquisador independente Buchodi, em parceria com a Include Security, fez engenharia reversa do SDK iOS distribuído pela Bright Data — sucessora da Luminati e o maior operador de proxies residenciais do mundo — e detalhou tecnicamente como o componente embarcado em apps de consumo silenciosamente coopta a conexão doméstica do usuário para retransmitir tráfego de web scraping pago por terceiros, em especial empresas de inteligência artificial que treinam modelos sobre conteúdo da web aberta.

A Bright Data afirma operar a maior rede de proxies residenciais do planeta, com mais de 400 milhões de endereços IP residenciais. Uma parte desse acervo, segundo a própria empresa, vem de um pool “consent-sourced” com mais de 150 milhões de IPs — formado por dispositivos cujos donos teriam concordado, via tela de opt-in dentro de apps gratuitos, em ceder banda em troca de funcionalidades premium ou remoção de anúncios.

A novidade da pesquisa não está na existência da prática, e sim na confirmação de que smart TVs — sempre ligadas, com banda farta e sem supervisão de um usuário humano — viraram nó preferencial dessa malha, e que a infraestrutura tem fragilidades graves de segurança.

Como o SDK funciona

Quando o usuário abre um aplicativo que embarca o SDK, o componente entra em contato com servidores da Bright Data e recebe instruções sobre quais sites visitar em nome de clientes corporativos. A partir desse momento, qualquer requisição emitida pelo dispositivo carrega o IP residencial da vítima, contornando os bloqueios anti-bot que provedores como Cloudflare e DataDome impõem a faixas conhecidas de datacenter.

O peer channel que carrega os jobs, segundo o relatório, não tem autenticação real entre dispositivo e servidor. Isso significa que um atacante posicionado entre os dois pode reescrever as instruções e mandar o aparelho buscar páginas arbitrárias, exfiltrar dados, ou disparar requisições contra alvos escolhidos pelo invasor — usando a banda e o IP da vítima.

“O canal que carrega esses jobs tem menos controles do que os encontrados em grande parte do malware comum”, afirma o pesquisador no relatório.

O detalhe mais grave para usuários de iPhone é que o tráfego gerado pelo SDK escapa de redes virtuais privadas configuradas no aparelho. Em outras palavras, mesmo um usuário consciente que paga por uma VPN comercial para preservar privacidade continua expondo seu endereço residencial real enquanto o app que embarca a SDK estiver ativo em segundo plano.

Quem é afetado

O impacto se distribui por três camadas distintas:

• Donos de smart TVs e dispositivos sempre ligados cuja conexão doméstica é usada como infraestrutura de scraping de terceiros, com consumo de banda, registros em logs de IP residencial e potencial responsabilidade legal por tráfego originado da sua rede.
• Usuários de apps gratuitos que embarcam o SDK e cuja tela de consent é, na prática, ambígua ou enterrada em telas que poucos leem.
• Empresas atacadas pelo scraping em massa, que perdem a capacidade de distinguir tráfego legítimo de coleta automatizada vinda de IPs residenciais “limpos”.
• Provedores de internet residencial, que enfrentam abuso de seus IPs e reclamações de blocklists.

Análise

O caso da Bright Data ilumina uma fronteira borrada entre prática legítima e exploração. O modelo é o mesmo do escândalo da Hola VPN em 2015, quando ficou demonstrado que usuários gratuitos do app tinham sua banda revendida pela Luminati a US$ 20 por gigabyte. O que mudou, uma década depois, foi a demanda: a corrida por dados de treinamento para modelos de linguagem de grande porte transformou IPs residenciais em commodity escassa, e o ecossistema de scraping virou um mercado paralelo de bilhões de dólares.

Há um paralelo direto com o desmantelamento, em janeiro deste ano, da rede criminosa IPIDEA pelo Google, e com a denúncia de Brian Krebs em outubro de 2025 sobre botnets como a Aisuru abastecendo coleta massiva de dados para IA. A diferença, segundo a Bright Data, está no consentimento. Mas a questão central — se uma tela de opt-in enterrada em um app gratuito constitui consentimento informado e revogável — não é técnica e sim regulatória, e tende a esbarrar tanto na LGPD quanto no GDPR.

Para defensores corporativos, o achado tem efeito imediato: detecção baseada em reputação de IP perde valor quando o atacante alcança IPs residenciais legítimos por meio de canais aparentemente lícitos. A linha de defesa precisa migrar para sinais comportamentais — fingerprinting de browser, cadência de requisição e análise de jornada — em vez de listas estáticas.

Recomendações práticas

• Audite quais apps em seus dispositivos pessoais e em smart TVs declaram, nos termos de uso, qualquer forma de “compartilhamento de banda” ou “rede de pares” — desinstale os que não justificam essa cessão.
• Monitore o tráfego de saída da rede doméstica e corporativa em busca de conexões persistentes para domínios associados a redes de proxy residencial (brightdata, bright-sdk, luminati, iponweb).
• Para times de segurança defendendo aplicações web, evolua de bloqueio por reputação de IP para análise comportamental e desafios adaptativos.
• Reveja políticas de BYOD: dispositivos pessoais conectados à rede corporativa podem estar atuando como exit nodes sem que o usuário saiba.
• Acompanhe ações regulatórias em curso na Europa e nos EUA sobre legitimidade de telas de opt-in para revenda de banda — o cenário jurídico deve evoluir nos próximos doze meses.

Fonte: The Hacker News