Заставка с рыбками продает ваш Wi-Fi. Как 2000 бесплатных приложений превратили Smart TV в чужие прокси

Игры, часы и заставки с аквариумами для Smart TV могут подключать домашний интернет к прокси-сетям. Исследователи Spur изучили 6038 приложений для LG webOS и Samsung Tizen и нашли подтверждённые компоненты резидентских прокси в 2058 пакетах.

Резидентский прокси позволяет клиенту сервиса отправлять запросы к сайтам через домашний IP-адрес другого пользователя. Сайт видит подключение обычного абонента, а не запрос из дата-центра. Принцип работы Bright SDK в бесплатных приложениях для телефонов и телевизоров SecurityLab уже разбирал.

Телевизор удобен для прокси-сети: устройство годами остаётся включённым в розетку, подключённым к Wi-Fi и почти не привлекает внимания владельца. На смартфоне фоновую активность выдаёт расход батареи, нагрев или увеличение мобильного трафика. У телевизора подобных сигналов нет, а экран согласия пользователь часто быстро пролистывает пультом во время установки приложения.

Разработчики добавляют в игры и заставки готовые SDK, чтобы зарабатывать без рекламы. Пользователь один раз разрешает использовать подключение, после чего прокси-компонент может работать в фоне даже после закрытия программы. В версии Pac-Man для Samsung Tizen Bright Data предлагала выбор между рекламой и подключением телевизора к сети для индексирования сайтов.

Spur искала в файлах приложений следы SDK Bright Data, Massive и Honeygain/Oxylabs. В 367 отмеченных программах издателями значились Bright Data, Bright Data Ltd или Bright SDK. Ещё 16 приложений выпустила Honeygain UAB, дочерняя структура Oxylabs. Авторы проверки предполагают, что часть простых игр, утилит и заставок создавали прежде всего для расширения прокси-сетей, а не ради функциональности для зрителя.

Проблема не ограничивается использованием домашнего IP-адреса. Телевизор находится в одной сети с роутером, камерами, принтерами, компьютерами и сетевыми накопителями. Прокси-компонент технически способен открывать соединения, а защита от обращений к локальным адресам зависит от правил SDK и фильтрации на стороне оператора прокси-сети.

В образце Bright Data исследователи нашли блокировку частных и локальных диапазонов IP-адресов: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16 и 255.255.255.255. Наличие блок-листа показывает, что телевизор способен устанавливать соединения с устройствами внутри домашней сети, а границу задают правила в коде прокси-компонента. В изученных образцах Massive и Honeygain сопоставимого запрета на локальные диапазоны не обнаружили.

Риск доступа к внутренней сети уже проявлялся в других прокси-сетях. В январе KrebsOnSecurity рассказал о ботнете Kimwolf, который использовал резидентские прокси для доступа к устройствам в локальных сетях за прокси-узлами. Spur не сообщает об атаках через найденные приложения, но указывает на сходный механизм.

Bright Data, Massive и Oxylabs заявили, что проверяют клиентов, фильтруют трафик и ограничивают злоупотребления. Oxylabs сообщила, что блокирует обращения к локальным адресам на уровне инфраструктуры и SDK, однако обновления компонентов могут доходить до телевизионных приложений с задержкой из-за проверки в магазинах.

Amazon запрещает приложения, которые предоставляют сторонним пользователям прокси-сервисы. Roku, как сообщал The Verge, также блокирует Bright SDK и похожие решения. LG и Samsung пока не публиковали правил, прямо запрещающих прокси-компоненты в приложениях для телевизоров.