Synth Daily

近半数 LG 智能电视应用含有住宅代理 SDK

一项研究发现,近半数受测的 LG 和三星智能电视应用内嵌了“住宅代理”软件开发工具包(SDK)。这些软件在用户不知情或仅一次性同意后,便会持续利用电视将用户的家庭网络流量转发给第三方牟利。由于用户通常不会像对待电脑一样审查电视,这带来了被严重低估的隐私和安全风险。当亚马逊和 Roku 等平台已明令禁止此类行为时,LG 和三星的政策空白使得智能电视可能成为黑客入侵家庭局域网的潜在入口。

一个被忽视的角落:电视应用

人们总是担心手机上的应用,却几乎没人关注电视里的软件。一项针对 LG 和三星应用商店里 6038 款应用的扫描显示,其中 2058 款应用正在出售你的 IP 地址

这些应用表面上是放松的鱼缸屏保、时钟、纸牌游戏或小狗视频,但其背后却是一个住宅代理 (residential proxy):一种能将他人的网络流量从你家客厅发出去的软件。

为什么智能电视是理想的“宿主”?

智能电视几乎是完美的代理主机。它们与家中所有其他设备共享同一个网络,但人们却不把它们当成电脑,因此也很少像审查电脑一样审查它们

  • 不易察觉: 电视没有电量消耗异常、不会产生高额流量费,也没有一个满是可疑后台活动的应用切换器。
  • 长期在线: 电视可以常年插电、登录并保持在线,而用户只把它当成一件家具。
  • 模糊的同意: 大多数人对于“出售住宅 IP 地址”意味着什么没有清晰的概念。在电视上,用户可能只是在安装流程中用遥控器点了一次“同意”,之后便彻底忘记,而应用则在后台持续利用其网络连接赚钱。

交易的逻辑:免费应用背后的真实成本

答案是。普通广告会降低用户体验,但许多电视应用(如屏保、时钟)追求的是安静、无打扰的体验。通过集成代理 SDK,应用可以在保持界面平静的同时,在后台利用电视的网络连接悄悄盈利。

一些应用甚至将这笔交易摆上台面。例如,一款吃豆人游戏提供了两种选择:要么接受广告,要么同意加入 Bright Data 的代理网络以换取无广告体验。这是一个清晰的变现选择:要么看广告,要么成为代理网络的一部分

谁在发布这些应用?

这不仅仅是代理公司说服开发者嵌入其 SDK 的故事。在很多情况下,代理公司自己就是应用的发布者

  • Bright Data 及其相关名称发布了 367 款含有代理功能的“应用”。
  • Honeygain UAB(Oxylabs 的子公司)发布了另外 16 款。

这改变了问题的性质。这些应用中有些并非恰好内置了代理 SDK 的普通应用,它们更像是 “第一方代理库存”:为了让 SDK 有个运行的地方而大规模发布的劣质游戏、屏保和工具应用。应用只是外壳,住宅 IP 才是真正的产品

平台政策的巨大差距

其他电视平台已经划清了界限。亚马逊的政策明确禁止应用为第三方提供代理服务。据报道,Roku 也已关闭了这扇门,下架了使用类似 SDK 的应用。

然而,LG 和三星尚未划定同等的公开界限。这些应用正是活在这一政策空白中。在亚马逊被禁止、在 Roku 被封锁的商业模式,却在 webOS 和 Tizen 系统上大规模存在。

潜在的危险:从IP代理到家庭网络入口

一旦电视应用可以充当代理,风险就不再局限于他人借用你的公共 IP 地址。该应用正运行在你的家庭网络内部。

如果代理提供商允许访问私有或本地地址,或者其过滤失败,那台电视就成了 一个入侵家庭网络的立足点,可以访问那些本不应暴露在互联网上的设备:路由器管理面板、网络存储 (NAS)、打印机、摄像头等。

这并非理论上的威胁。已有报告指出,一个名为 Kimwolf 的僵尸网络就曾滥用住宅代理网络,反向渗透到代理节点背后的局域网中。

SDK 的代码也证明了这一点。Bright Data 的 SDK 样本中包含一个明确的私有/本地地址黑名单(如 127.0.0.0/8, 192.168.0.0/16),这恰恰说明电视本身有能力连接这些地址,边界仅在于 SDK 的策略代码。如果这个边界被改变、被破坏或被滥用,那个最初被描述为“用于网页索引”的 SDK 就可能变成网络罪犯进入你家庭网络的个人 VPN 连接

代理服务商的回应

  • Bright Data 强调其网络建立在“同意”的基础上,并有严格的审查和监管流程,只批准合法的商业、研究用途。
  • Massive 称其以隐私和安全为中心,用户参与是一个简单的启用/禁用选择,并且会对客户进行 KYC(了解你的客户)验证。
  • OxyLabs 表示其通过多重技术控制限制对私有和本地网络的访问,且其控制措施经过了独立的第三方安全审计。

结论:需要透明度和平台责任

一个电视应用不应该能悄悄地把客厅设备变成住宅代理设施。如果一个应用要利用家庭网络连接来赚钱,用户就应该被明确告知这意味着什么、连接将如何被使用以及他们正在接受哪些风险。

应用消失了。代理却没有。

问题不在于住宅代理网络的存在,而在于它们被大规模地植入到消费者不认为是电脑、也无法审查的设备中。一次性的同意提示无法替代真正的透明度、持续的控制和平台的监管。

亚马逊和 Roku 已经禁止了这类软件。 LG 和三星至少应该建立明确的政策,要求显著的披露和用户控制,并严格审查那些通过消费设备转发第三方流量的应用。