- 27,803
- 46
- 8 Ноя 2022
Amazon и Roku уже все поняли, а LG и Samsung не спешат запрещать скрытые прокси в своих магазинах.
Игры, часы и заставки с аквариумами для Smart TV могут подключать домашний интернет к прокси-сетям. Исследователи Spur скачали и распаковали 6038 приложений для LG webOS и Samsung Tizen, а затем нашли подтверждённые компоненты резидентских прокси в 2058 пакетах.
Резидентский прокси позволяет клиенту сервиса отправлять запросы к сайтам через домашний IP-адрес другого пользователя. Сайт видит подключение обычного абонента, а не запрос из дата-центра. Принцип работы Bright SDK в бесплатных приложениях для телефонов и телевизоров SecurityLab уже разбирал .
Телевизор удобен для прокси-сети: устройство годами остаётся включённым в розетку, подключённым к Wi-Fi и почти не привлекает внимания владельца. На смартфоне фоновую активность выдаёт расход батареи, нагрев или увеличение мобильного трафика. У телевизора подобных сигналов нет, а экран согласия пользователь часто быстро пролистывает пультом во время установки приложения.
Разработчики добавляют в игры и заставки готовые SDK, чтобы зарабатывать без рекламы. Пользователь один раз разрешает использовать подключение, после чего прокси-компонент может работать в фоне даже после закрытия программы. В версии Pac-Man для Samsung Tizen Bright Data предлагала выбор между рекламой и подключением телевизора к сети для индексирования сайтов.
Spur искала в файлах приложений следы SDK Bright Data, Massive и Honeygain, принадлежащего Oxylabs. В 367 отмеченных программах издателями значились Bright Data, Bright Data Ltd или Bright SDK. Ещё 16 приложений выпустила Honeygain UAB. Авторы проверки предполагают, что часть простых игр, утилит и заставок создавали прежде всего для расширения прокси-сетей, а не ради функциональности для зрителя.
Проблема не ограничивается использованием домашнего IP-адреса. Телевизор находится в одной сети с роутером, камерами, принтерами, компьютерами и сетевыми накопителями. Прокси-клиент технически может попытаться обратиться к устройствам по локальным адресам. Доступ зависит от ограничений, которые заложил разработчик SDK и применяет оператор прокси-сети.
В образце Bright Data исследователи нашли блокировку частных и локальных диапазонов IP-адресов: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16 и 192.168.0.0/16. Наличие блок-листа показывает, что телевизор способен устанавливать соединения с устройствами внутри домашней сети, а границу задают правила в коде прокси-компонента. В изученных образцах Massive и Honeygain сопоставимого запрета на локальные диапазоны не обнаружили.
Риск доступа к внутренней сети уже проявлялся в других прокси-сетях. В январе KrebsOnSecurity рассказал о ботнете Kimwolf, который использовал резидентские прокси для проникновения в локальные сети за прокси-узлами. Spur не сообщает об атаках через найденные приложения, но указывает на сходный механизм.
Bright Data, Massive и Oxylabs заявили, что проверяют клиентов, фильтруют трафик и ограничивают злоупотребления. Oxylabs сообщила, что блокирует обращения к локальным адресам на уровне инфраструктуры и SDK, однако обновления компонентов могут доходить до телевизионных приложений с задержкой из-за проверки в магазинах.
Amazon запрещает приложения, которые предоставляют сторонним пользователям прокси-сервисы. Roku, как писал The Verge , также блокирует Bright SDK и похожие решения. LG и Samsung пока не публиковали правил, прямо запрещающих прокси-компоненты в приложениях для телевизоров.
Игры, часы и заставки с аквариумами для Smart TV могут подключать домашний интернет к прокси-сетям. Исследователи Spur скачали и распаковали 6038 приложений для LG webOS и Samsung Tizen, а затем нашли подтверждённые компоненты резидентских прокси в 2058 пакетах.
Резидентский прокси позволяет клиенту сервиса отправлять запросы к сайтам через домашний IP-адрес другого пользователя. Сайт видит подключение обычного абонента, а не запрос из дата-центра. Принцип работы Bright SDK в бесплатных приложениях для телефонов и телевизоров SecurityLab уже разбирал .
Телевизор удобен для прокси-сети: устройство годами остаётся включённым в розетку, подключённым к Wi-Fi и почти не привлекает внимания владельца. На смартфоне фоновую активность выдаёт расход батареи, нагрев или увеличение мобильного трафика. У телевизора подобных сигналов нет, а экран согласия пользователь часто быстро пролистывает пультом во время установки приложения.
Разработчики добавляют в игры и заставки готовые SDK, чтобы зарабатывать без рекламы. Пользователь один раз разрешает использовать подключение, после чего прокси-компонент может работать в фоне даже после закрытия программы. В версии Pac-Man для Samsung Tizen Bright Data предлагала выбор между рекламой и подключением телевизора к сети для индексирования сайтов.
Spur искала в файлах приложений следы SDK Bright Data, Massive и Honeygain, принадлежащего Oxylabs. В 367 отмеченных программах издателями значились Bright Data, Bright Data Ltd или Bright SDK. Ещё 16 приложений выпустила Honeygain UAB. Авторы проверки предполагают, что часть простых игр, утилит и заставок создавали прежде всего для расширения прокси-сетей, а не ради функциональности для зрителя.
Проблема не ограничивается использованием домашнего IP-адреса. Телевизор находится в одной сети с роутером, камерами, принтерами, компьютерами и сетевыми накопителями. Прокси-клиент технически может попытаться обратиться к устройствам по локальным адресам. Доступ зависит от ограничений, которые заложил разработчик SDK и применяет оператор прокси-сети.
В образце Bright Data исследователи нашли блокировку частных и локальных диапазонов IP-адресов: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16 и 192.168.0.0/16. Наличие блок-листа показывает, что телевизор способен устанавливать соединения с устройствами внутри домашней сети, а границу задают правила в коде прокси-компонента. В изученных образцах Massive и Honeygain сопоставимого запрета на локальные диапазоны не обнаружили.
Риск доступа к внутренней сети уже проявлялся в других прокси-сетях. В январе KrebsOnSecurity рассказал о ботнете Kimwolf, который использовал резидентские прокси для проникновения в локальные сети за прокси-узлами. Spur не сообщает об атаках через найденные приложения, но указывает на сходный механизм.
Bright Data, Massive и Oxylabs заявили, что проверяют клиентов, фильтруют трафик и ограничивают злоупотребления. Oxylabs сообщила, что блокирует обращения к локальным адресам на уровне инфраструктуры и SDK, однако обновления компонентов могут доходить до телевизионных приложений с задержкой из-за проверки в магазинах.
Amazon запрещает приложения, которые предоставляют сторонним пользователям прокси-сервисы. Roku, как писал The Verge , также блокирует Bright SDK и похожие решения. LG и Samsung пока не публиковали правил, прямо запрещающих прокси-компоненты в приложениях для телевизоров.
- Источник новости
- www.securitylab.ru
