Um pesquisador reverteu a engenharia do SDK de iOS que a Bright Data embute em aplicativos de consumo e documentou como ele transforma dispositivos, incluindo smart TVs sempre ligadas, em nós de saída que retransmitem tráfego de web scraping para um negócio de dados que a empresa vende agressivamente à indústria de IA.
A companhia, sucessora da Luminati, opera o que chama de a maior rede de proxies residenciais do mundo, anunciada com mais de 400 milhões de IPs residenciais.
Parte dessa oferta vem desse SDK, distribuído dentro de aplicativos gratuitos após uma tela de consentimento, e descrito como um conjunto de mais de 150 milhões de IPs obtidos com consentimento.
As descobertas, publicadas em 5 de junho pela Include Security e pelo pesquisador independente Buchodi, são relevantes porque o scraping sai do IP residencial do usuário, e não do cliente.
O risco imediato não é uma conta invadida nem dados roubados, mas o uso da conexão de casa e da sua banda como infraestrutura de scraping para outra pessoa.
Uma TV conectada é quase ideal para isso.
Normalmente fica ligada na tomada, usa uma conexão rápida, na prática tem consumo irrestrito e raramente é monitorada.
A evidência técnica mais profunda vem do SDK de iOS.
Já a extensão para smart TVs se apoia no suporte da plataforma da Bright Data, na lista pública de parceiros e em reportagens anteriores.
A pesquisa descobriu que o canal ponto a ponto que transporta as tarefas de scraping não tem autenticação real e, no iOS, o tráfego contorna uma VPN configurada.
Dentro do túnel ponto a ponto
Quando o aplicativo é aberto, o SDK se conecta a um dos servidores da Bright Data, que repassa instruções sem verificar de forma robusta quem está pedindo.
A partir daí, o servidor pode ordenar que o dispositivo busque páginas em outros sites, usando para isso a conexão residencial do usuário.
O pesquisador constatou que o canal que carrega essas tarefas não tem as verificações de segurança usuais e o descreveu como mais fraco do que os controles embutidos na maioria dos malware.
Em iPhones, ele também observou que esse tráfego passa por fora de uma VPN e que boa parte do que o aplicativo faz não aparece nas ferramentas que as equipes de segurança normalmente usam para monitorar apps.
O dispositivo também pode continuar retransmitindo em segundo plano enquanto alguém assiste à tela ou faz uma ligação, desde que a bateria não esteja baixa.
A lacuna do consentimento
A tela de opt-in não corresponde ao que o SDK realmente permite.
Em um aplicativo para Roku, o Petflix, a tela informava que o dispositivo e sua conexão seriam usados “ocasionalmente”.
As configurações carregadas pelo SDK permitem até 200 GB de tráfego por mês.
Em alguns países, incluindo Uzbequistão e Omã, os limites são muito maiores, e o dispositivo pode continuar funcionando quase até a bateria acabar.
O SDK também pode associar o telefone e os computadores de uma pessoa que executem aplicativos da mesma empresa, tratando tudo como um único usuário.
A Bright Data publica sua lista de parceiros em uma página aberta a qualquer pessoa, e ela inclui desenvolvedores de aplicativos para smart TV como PlayWorks Digital, CloudTV e Longvision.
O pesquisador ressalta, porém, que estar na lista apenas mostra que a empresa trabalhou com a Bright Data em algum momento, e não que o aplicativo dela use o SDK hoje.
Cada caso precisaria ser verificado separadamente.
Um modelo antigo, impulsionado pela demanda de IA
Nada disso é novo em conceito, apenas em escala.
A Bright Data é sucessora da Luminati, serviço pago de proxies que surgiu a partir da Hola VPN.
Em 2015, a Hola foi flagrada vendendo a banda de seus usuários gratuitos como nós de saída por meio da Luminati, a US$ 20 por gigabyte.
O mesmo modelo agora roda na caixa sempre ligada da sala.
O que mudou foi o comprador.
Mecanismos anti-bot da Cloudflare, DataDome e de outras empresas bloqueiam scrapers vindos de IPs de data center, então os scrapers de IA passaram a usar conexões residenciais.
Em outubro de 2025, Krebs informou que proxies de botnets como a Aisuru estavam alimentando a coleta massiva de dados para IA, e o Google desmantelou em janeiro a rede criminosa de proxies IPIDEA.
Essas operações sequestram dispositivos de consumidores; a Bright Data afirma que seus nós de saída entram por consentimento, via uma tela de opt-in.
Esse consentimento é a linha que separa os dois modelos, e a dúvida em aberto é se ele é realmente significativo.
O Lowpass, distribuído pelo The Verge, foi o primeiro a levantar em fevereiro a questão das smart TVs, e esta é a análise técnica detalhada.
Google, Amazon e Roku passaram a restringir SDKs de proxy em segundo plano, e a Bright Data abandonou essas plataformas, embora ainda liste Tizen, da Samsung, e webOS, da LG.
O que fazer
Esse tráfego é fácil de identificar e bloquear.
Em uma rede doméstica, a medida mais simples é bloquear os endereços usados pelo SDK para se conectar, com uma ferramenta no roteador como Pi-hole ou NextDNS.
Os principais são proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com e clientsdk.brdtnet.com.
Segundo a pesquisa, bloquear esses endereços impede que o dispositivo atue como relé sem afetar o serviço pago da Bright Data, que opera em endereços separados.
Empresas que gerenciam celulares corporativos também podem verificar aplicativos que contenham o SDK.
Há uma ressalva: em uma conexão móvel, o tráfego ignora o Wi-Fi do escritório, então um bloqueio apenas na rede nem sempre vai detectar o problema.
A Bright Data também pode mudar no futuro a forma como o SDK se conecta, o que exigiria atualizar a lista de bloqueio.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...