Jūsų televizorius naktimis dirba kažkieno duomenų rinkimo serveriu — ir jūs to net nežinote

Jei jūsų išmanusis televizorius pastarosiomis savaitėmis veikė lėčiau, nors nieko nežiūrėjote — jis tikriausiai nebuvo be darbo. Birželio 5 dieną nepriklausomas tyrėjas Buchodi kartu su „Include Security" paskelbė ataskaitą, kuri atskleidžia, kad nemokamos programėlės, įdiegtos į milijonus išmaniųjų televizorių visame pasaulyje, paverčia šiuos įrenginius tinklo tarpiniais serveriais. Ir visa tai daroma vienos bendrovės — „Bright Data" — naudai.

„Bright Data" yra buvusios „Luminati" įpėdinė, reklamuojanti save kaip didžiausią rezidentinių tarpinių serverių tinklą pasaulyje — daugiau nei 400 milijonų IP adresų. Dalis šio tinklo tiekiama per programinės įrangos kūrimo rinkinį, kurį bendrovė įterpia į nemokamas programėles. Ekrane vartotojui parodoma, kad programėlė „kartais" naudos įrenginio resursus, tačiau tikrovė kitokia — leidžiama per mėnesį perduoti iki 200 gigabaitų srauto.

Išmanusis televizorius tokiai veiklai yra beveik ideali platforma. Jis nuolat prijungtas prie elektros tinklo, naudoja greitą interneto ryšį, o srautas paprastai nėra ribojamas. Didžiąją paros dalį niekas net nežiūri, kas vyksta ekrane. Tyrėjo duomenimis, programinės įrangos kūrimo rinkinys veikia net tada, kai kas nors žiūri filmą ar kalba telefonu — kol baterija nėra kritiškai išsikrovusi.

Kas slypi po gaubtu

Buchodi išsamiai išnagrinėjo „Bright Data" iOS programinės įrangos kūrimo rinkinio veikimo principus. Paaiškėjo, kad kanalas, kuriuo siunčiamos duomenų rinkimo užduotys, neturi rimtų autentifikacijos mechanizmų. Programėlei atsidarius, rinkinys susisiekia su vienu iš „Bright Data" serverių, kuris perduoda instrukcijas beveik netikrindamas, kas jų paprašė. Nuo to momento serveris gali liepti įrenginiui siųsti užklausas į kitas svetaines, naudojant namų interneto ryšį.

Dar daugiau — tyrėjas nustatė, kad iOS įrenginiuose šis srautas apeina sukonfigūruotą VPN ryšį. Didelė dalis rinkinio veiklos taip pat nematoma per įprastus saugumo stebėjimo įrankius. Buchodi šią apsaugą apibūdino kaip silpnesnę nei įprastose kenkėjiškose programose.

Ką sako pati bendrovė

„Bright Data" savo partnerių sąraše viešai nurodo išmaniųjų televizorių programėlių kūrėjus, įskaitant „PlayWorks Digital", „CloudTV" ir „Longvision". Tyrėjas pabrėžia, kad buvimas šiame sąraše reiškia tik tai, jog kompanija kažkada bendradarbiavo su „Bright Data", bet nebūtinai rodo, kad rinkinys veikia dabar. Kiekvieną atvejį reikėtų tikrinti atskirai.

Vienoje „Roku" programėlėje „Petflix" rodomas sutikimo ekranas teigia, kad įrenginys bus naudojamas „kartkartėmis". Tačiau rinkinio nustatymai leidžia perduoti iki 200 GB per mėnesį. Kai kuriose šalyse, pavyzdžiui, Uzbekistane ir Omane, limitai yra dar didesni, o įrenginiui leidžiama veikti beveik tol, kol baterija visiškai išsikrauna.

Kodėl tai svarbu

Čia kalbama ne apie pavogtus slaptažodžius ar nutekintus duomenis. Tiesioginė rizika yra ta, kad jūsų namų interneto ryšys naudojamas kaip kažkieno kito duomenų rinkimo infrastruktūra. Jūsų IP adresas atsiranda svetainių žurnaluose kaip užklausų šaltinis, o sąskaita už elektrą padengia kažkieno verslo veiklos kaštus.

„Bright Data" šiuos duomenis aktyviai parduoda dirbtinio intelekto pramonei, kuriai reikia milžiniškų kiekių interneto turinio modeliams treniruoti. Tas pats rinkinys gali susieti žmogaus telefoną su kompiuteriais, kuriuose veikia tos pačios bendrovės programėlės, traktuodamas juos kaip vieną naudotoją.

Kol kas nėra paprasto būdo patikrinti, ar jūsų televizoriuje veikia šis rinkinys. Geriausia apsauga — atidžiai skaityti, ką iš tikrųjų sako programėlių sutikimo ekranai, ir vengti abejotinų nemokamų programėlių, ypač tų, kurių kūrėjai nėra žinomi. Jei televizorius veikia pastebimai lėčiau arba maršrutizatorius rodo neįprastai didelį srautą naktimis — verta pasidomėti.