Nei giorni scorsi una ricerca di sicurezza ha documentato nel dettaglio come l'SDK iOS di Bright Data, incluso in diverse app gratuite, trasformi i dispositivi degli utenti, comprese le smart TV sempre accese del salotto, in nodi di uscita che inoltrano traffico di scraping del web per conto dei clienti dell'azienda. Il lavoro, firmato da Include Security insieme al ricercatore indipendente Buchodi, � rilevante non per un account violato o un dato rubato, ma perch� lo scraping parte dall'indirizzo IP domestico dell'utente: sono la sua connessione e la sua banda a diventare infrastruttura di raccolta dati per qualcun altro. Bright Data � l'erede di Luminati, il servizio di proxy a pagamento nato da Hola VPN: gi� nel 2015 Hola venne sorpresa a rivendere la banda dei propri utenti gratuiti come nodi di uscita attraverso Luminati, a 20 dollari per gigabyte. A cambiare � stato il compratore: le difese anti-bot di Cloudflare, DataDome e altri bloccano gli scraper che arrivano dagli IP dei data center, cos� chi raccoglie dati per l'IA dirotta le richieste sulle connessioni residenziali. Bright Data, che si presenta come la pi� grande rete di proxy residenziali al mondo con oltre 400 milioni di IP, ne ricava una quota da un bacino "consenziente" di oltre 150 milioni di indirizzi alimentato proprio da quell'SDK. In questo quadro la smart TV � il nodo quasi ideale: di norma sempre collegata alla corrente, su una connessione veloce e raramente sotto osservazione. Non scende mai all'1% di batteria, non cambia di continuo rete e non si blocca quando l'utente dorme. Come l'app diventa un nodo di scraping La ricostruzione, ottenuta decompilando il framework iOS e osservando trenta giorni di traffico, mostra che all'avvio l'app contatta un server di Bright Data che le consegna la configurazione senza verificare davvero chi stia chiedendo: bastano l'identificativo dell'app, reperibile sull'App Store, e la versione dell'SDK. A questo punto il dispositivo apre un canale persistente verso l'infrastruttura dell'azienda e attende istruzioni, che di norma sono singoli lavori di scraping che l'SDK esegue come richieste HTTP verso siti terzi, usando come mittente l'IP di casa dell'utente. Quel canale, osserva il ricercatore, non prevede alcuna firma dei messaggi n� attestazione del dispositivo, ed � descritto come meno protetto dei meccanismi di comando e controllo del malware commerciale tipico. La definizione di "dispositivo inattivo" per l'SDK significa semplicemente che CPU, memoria e batteria rientrino in certe soglie. Due impostazioni esplicite permettono di inoltrare traffico anche mentre lo schermo � acceso e mentre l'utente � al telefono. Sugli iPhone, inoltre, il canale che trasporta i lavori di scraping aggira una VPN configurata sul dispositivo, agganciandosi direttamente all'interfaccia fisica, e gran parte di ci� che l'app fa sfugge agli strumenti con cui i team di sicurezza monitorano normalmente le applicazioni. Lo scarto col consenso Il punto pi� delicato � la distanza tra ci� che la schermata di consenso dichiara e ci� che l'SDK consente davvero. Nell'app per Roku citata nella ricerca, Petflix, il testo dell'opt-in dice che il dispositivo verr� usato "occasionalmente"; la configurazione scaricata fissa invece un tetto di 200 GB di traffico al mese su WiFi. Le soglie cambiano poi per area geografica: la maggior parte dei dispositivi nel mondo pu� inoltrare fino a 500 MB al mese e solo sopra il 20% di batteria, ma in Paesi come Uzbekistan e Oman il limite sale a 30 GB mensili, sessanta volte tanto, e l'apparecchio resta operativo quasi a batteria scarica. L'SDK � inoltre in grado di collegare telefono e computer che eseguono le app dello stesso marchio, trattandoli come un solo utente. L'analisi tecnica di Inside Security verte per lo pi� sull'SDK per iOS, mentre la portata del problema che interessa le smart TV poggia invece sul supporto di piattaforma di Bright Data, sul suo elenco pubblico di partner e su una copertura precedente. A far emergere per primo il versante televisivo era stata, lo scorso febbraio, un'inchiesta della newsletter Lowpass. Bright Data pubblica su una pagina accessibile a chiunque l'elenco dei propri partner, che comprende sviluppatori di app per TV come PlayWorks Digital, CloudTV e Longvision; la ricerca avverte per� che comparire in quella lista indica soltanto che un'integrazione � esistita a un certo punto nella storia dell'app, non che l'app oggi distribuita includa necessariamente l'SDK. Ogni caso andrebbe verificato singolarmente. Come difendersi Il traffico lascia tracce abbastanza inequivocabili e si blocca con facilit�. Sulla rete domestica basta impedire la risoluzione dei domini che l'SDK usa per connettersi, a partire da proxyjs.brdtnet.com e dagli altri indirizzi proxyjs, con uno strumento a livello di router come Pi-hole o NextDNS; stando alla ricerca il blocco ferma l'inoltro senza toccare il servizio a pagamento di Bright Data, che gira su domini separati. Nel frattempo Google, Amazon e Roku hanno ristretto gli SDK di proxy in background e Bright Data ha abbandonato quelle piattaforme, pur continuando a elencare Tizen di Samsung e webOS di LG. La differenza tra le botnet che dirottano i dispositivi all'insaputa dei proprietari e il modello di Bright Data sta in un solo elemento: qui i nodi di uscita aderiscono attraverso una schermata di consenso che, nel caso di una TV, viene prestato col telecomando su una riga di testo che parla di un uso "occasionale". Quanto sia davvero informato � tutto da dimostrare.