Een onderzoeker heeft de iOS SDK die Bright Data in consumentenapps insluit, reverse-engineered en gedocumenteerd hoe apparaten, waaronder altijd ingeschakelde smart-tv’s, worden omgezet in exit-knooppunten die webscrapend verkeer doorgeven aan een databedrijf. Bright Data richt zich zwaar op de AI-industrie.
Het bedrijf, de opvolger van Luminati, beheert wat het het grootste residentiële proxynetwerk ter wereld noemt, met meer dan 400 miljoen residentiële IP’s. Een deel van dat aanbod komt uit deze SDK, geleverd in gratis apps achter een opt-in-scherm en beschreven als een op toestemming gebaseerde pool van meer dan 150 miljoen IP’s.
De bevindingen, gepubliceerd op 5 juni door Include Security en onafhankelijk onderzoeker Buchodi, zijn van belang omdat het schrapen afkomstig is van het IP-adres van de gebruiker thuis, en niet van de klant. Het directe risico is niet een gehackt account of gestolen gegevens; het is dat een thuisverbinding en de bandbreedte ervan worden gebruikt als de scraping-infrastructuur van iemand anders.
Een aangesloten tv is daarvoor bijna ideaal: meestal aangesloten, met een snelle verbinding, feitelijk zonder meter en niet bekeken.
Het diepste technische bewijs komt uit de iOS SDK; het bereik van smart-tv berust op de platformondersteuning van Bright Data, de lijst met publieke partners en eerdere rapportages. Uit het onderzoek bleek dat het peer-kanaal dat scraping-taken uitvoert geen echte authenticatie heeft, en op iOS omzeilt het verkeer een geconfigureerde VPN.
In de peertunnel
Wanneer de app opent, maakt de SDK contact met een van de servers van Bright Data, die de instructies overhandigt zonder echt te controleren wie erom vraagt. Vanaf dat moment kan de server het apparaat vertellen pagina’s van andere websites op te halen, waarbij hij de internetverbinding thuis van de gebruiker gebruikt.
De onderzoeker ontdekte dat het kanaal dat deze banen verzorgt geen van de gebruikelijke beveiligingscontroles heeft, en beschreef het als zwakker dan de controles die in de meeste malware zijn ingebouwd.
Op iPhones ontdekte de onderzoeker dat dit verkeer langs een VPN glipt, en dat veel van wat de app doet niet zichtbaar is in de tools die beveiligingsteams normaal gesproken gebruiken om apps te monitoren. Het apparaat kan ook op de achtergrond blijven uitzenden terwijl iemand naar het scherm kijkt of aan het bellen is, zolang de batterij niet bijna leeg is.
De toestemmingskloof
Het aanmeldingsscherm komt niet overeen met wat de SDK daadwerkelijk toestaat. In één Roku-app, Petflix, zei het scherm dat het het apparaat en de verbinding ervan ‘af en toe’ zou gebruiken.
De instellingen die de SDK laadt, staan maximaal 200 GB verkeer per maand toe. In een paar landen, waaronder Oezbekistan en Oman, liggen de limieten veel hoger en mag het apparaat blijven werken totdat de batterij leeg is. De SDK kan ook de telefoon van een persoon koppelen aan computers waarop de apps van hetzelfde bedrijf draaien, waardoor deze als één gebruiker worden behandeld.
Bright Data publiceert zijn lijst met app-partners op een pagina die iedereen kan openen, en bevat makers van smart-tv-apps zoals PlayWorks Digital, CloudTV en Longvision. De onderzoeker let erop dat de vermelding op de lijst alleen maar aangeeft dat een bedrijf ooit met Bright Data heeft gewerkt, en niet dat de app vandaag de dag de SDK bevat. Elk daarvan zou afzonderlijk moeten worden gecontroleerd.
Een oud model, getrokken door de vraag naar AI
Niets hiervan is nieuw qua vorm, alleen qua schaal. Bright Data is de opvolger van Luminati, de betaalde proxydienst die is voortgekomen uit Hola VPN. In 2015 werd Hola betrapt op het verkopen van de bandbreedte van zijn gratis gebruikers als exit-nodes via Luminati, voor $ 20 per gigabyte. Hetzelfde model draait nu op de Always-On box in de woonkamer.
Wat er veranderd is, is de koper. Anti-botverdedigingen van Cloudflare, DataDome en anderen blokkeren scrapers die afkomstig zijn van datacenter-IP’s, zodat AI-scrapers in plaats daarvan via residentiële verbindingen gaan.
Krebs meldde in oktober 2025 dat proxy’s van botnets als Aisuru de grootschalige verzameling van AI-gegevens aandrijven, en Google ontmantelde in januari het criminele IPIDEA-proxynetwerk. Deze operaties kapen consumentenapparaten; Bright Data zegt dat de exit-knooppunten zich aanmelden via een toestemmingsscherm. Die toestemming is de grens tussen de twee, en of het zinvol is, is de open vraag.
Lowpass, gesyndiceerd door The Verge, bracht de smart-TV-hoek voor het eerst naar voren in februari, en dit is de technische demontage. Google, Amazon en Roku hebben sindsdien de achtergrondproxy-SDK’s beperkt, en Bright Data heeft die platforms laten vallen, hoewel ze nog steeds Samsung’s Tizen en LG’s webOS vermelden.
Wat te doen
Het verkeer is gemakkelijk te herkennen en te blokkeren. Op een thuisnetwerk is de eenvoudigste stap het blokkeren van de webadressen die de SDK gebruikt om verbinding te maken, met een tool op routerniveau zoals Pi-hole of NextDNS.
De belangrijkste zijn proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com en clientsdk.brdtnet.com. Volgens het onderzoek voorkomt het blokkeren hiervan dat het apparaat als relais fungeert, zonder dat dit gevolgen heeft voor de betaalde dienst van Bright Data, die op afzonderlijke adressen draait.
Bedrijven die personeelstelefoons beheren, kunnen ook zoeken naar apps die de SDK bevatten. Eén probleem: op een mobiele verbinding omzeilt het verkeer de Wi-Fi van kantoor, dus een netwerkblokkade alleen zal het niet altijd opvangen. Bright Data zou in de toekomst ook de manier kunnen veranderen waarop de SDK verbinding maakt, wat zou betekenen dat elke blokkeerlijst moet worden bijgewerkt.
