Các ứng dụng miễn phí có sẵn trên các nền tảng TV thông minh phổ biến như Samsung, LG, Roku và các nền tảng lớn khác đã âm thầm đưa hàng triệu thiết bị giải trí tại gia vào một mạng lưới proxy thương mại, được sử dụng để thu thập dữ liệu web phục vụ cho việc huấn luyện AI. Quá trình này diễn ra thông qua một hộp thoại đồng ý bị ẩn sâu trong các tùy chọn điều hướng của TV, theo nghiên cứu mới từ Include Security. Đây là một ví dụ điển hình về mối đe dọa mạng tiềm ẩn trong các thiết bị IoT.
SDK của Bright Data là tâm điểm
Thủ phạm chính là một SDK (Software Development Kit) do Bright Data, một công ty thu thập dữ liệu có trụ sở tại Tel Aviv, phát triển. Công ty này quảng bá mạng lưới proxy dân cư lớn nhất thế giới, với hơn 150 triệu địa chỉ IP có được thông qua phần mềm nhúng trong các ứng dụng đối tác.
Cơ chế hoạt động của SDK
Khi được cài đặt, SDK sẽ âm thầm biến TV thông minh (CTV) hoặc thiết bị di động của người dùng thành một nút thoát (exit node), định tuyến lưu lượng truy cập web-scraping của khách hàng trả phí thông qua kết nối internet tại nhà của người dùng.
Tại sao TV thông minh là mục tiêu lý tưởng?
Các nhà nghiên cứu chỉ ra rằng TV thông minh là mục tiêu lý tưởng so với điện thoại thông minh bởi chúng luôn được cấp nguồn, luôn kết nối Wi-Fi, luôn ở chế độ chờ 24/7, gần như không có sự giám sát từ doanh nghiệp hoặc MDM, và người dùng hiếm khi chú ý đến chúng.
Cấu hình SDK cho phép khai thác liên tục
Cấu hình của SDK xác nhận việc khai thác này. Các cờ ngưỡng thời gian chờ (idle threshold flags) như ignore_screen_on: true và ignore_on_call: true cho phép thiết bị chuyển tiếp lưu lượng của bên thứ ba ngay cả khi người dùng đang xem hoặc đang thực hiện cuộc gọi.
Theo các giá trị cấu hình thu thập từ điểm cuối công khai của Bright Data tại clientsdk.bright-sdk.com, giới hạn băng thông hàng tháng mặc định cho việc chuyển tiếp qua Wi-Fi là 200 GB cho mỗi thiết bị.
Phân tích chi tiết về hạ tầng và kết nối
Cùng một điểm cuối cấu hình không xác thực còn tiết lộ một danh sách đối tác (partner manifest), mà các nhà nghiên cứu xác định bao gồm:
com.google.android.youtubecom.google.android.apps.youtube.musiccom.samsung.android.app.youtube.samplecom.roku.app.rokuappcom.LG.appstore
Kết nối WebSocket và chứng chỉ TLS
SDK mở một kết nối WebSocket liên tục đến proxyjs.brdtnet.com:443, phân giải thành các địa chỉ IP của AWS Global Accelerator. Nó trình bày một chứng chỉ TLS cho *.luminatinet.com. Tên công ty cũ của Bright Data trước năm 2018 là Luminati Networks.
Tầm quan trọng của tên miền cũ
Tên miền cũ này đóng vai trò là một điểm xoay phát hiện trực tiếp cho các nhà phòng thủ. Bất kỳ lưu lượng truy cập nào có tên miền luminatinet.com hoặc brdtnet.com trên mạng đều là mặt phẳng peer-tunnel của SDK, không phải lưu lượng khách hàng hợp pháp của Bright Data. Đây là một dấu hiệu quan trọng trong việc phát hiện xâm nhập.
Vượt qua VPN và công cụ giám sát
Quan trọng hơn, SDK sử dụng API NWParameters.requiredInterface của Apple để gắn trực tiếp mặt phẳng dữ liệu vào giao diện Wi-Fi hoặc di động vật lý, hoàn toàn bỏ qua bất kỳ VPN nào do người dùng cấu hình. Điều này cho phép chiếm quyền điều khiển thực sự mà không bị hạn chế.
Mặt phẳng điều khiển (control plane) sử dụng các nguyên thủy của CFHTTPMessage thay vì URLSession, đánh bại các công cụ giám sát tiêu chuẩn của iOS. Sự kết hợp này đảm bảo kênh nhạy cảm nhất của SDK luôn vô hình trước các lớp giám sát bảo mật thông thường.
Các biện pháp phòng chống và phát hiện
Các nhà nghiên cứu khuyến nghị chặn các tên miền DNS sau đây tại bộ định tuyến của bạn để giảm thiểu rủi ro bảo mật:
clientsdk.bright-sdk.com*.brdtnet.com*.luminatinet.com*.luminati.io
Lọc TLS và phát hiện trên thiết bị quản lý
Đối với lọc dựa trên TLS, hãy chặn mọi kết nối bắt tay (handshake) với SNI khớp với *.brdtnet.com, *.luminatinet.com, hoặc *.luminati.io. Quản trị viên MDM doanh nghiệp nên quét các biểu tượng nhị phân Swift là BrdWebSocketFacade và BrdNetwork.DNSResolver để xác định các ứng dụng bị ảnh hưởng trên các thiết bị được quản lý.
Include Security đã thông báo cho Bright Data vào ngày 11 tháng 5 năm 2026 qua địa chỉ [email protected]. Không có phản hồi nào được nhận trước thời điểm công bố.
Việc hiểu rõ các kỹ thuật ẩn danh và cách các SDK có thể bị lạm dụng là rất quan trọng để bảo vệ người dùng khỏi các cuộc tấn công mạng tinh vi. Để cập nhật thêm các tin tức bảo mật mới nhất và phân tích lỗ hổng, hãy theo dõi các nguồn tin cậy.
Để có cái nhìn sâu hơn về các lỗ hổng và cách chúng được khai thác, tham khảo báo cáo chi tiết tại Include Security Blog.
