許多使用者在安裝免費 App 時,習慣快速點擊同意條款而未細讀。然而,近期的一項研究揭露了一個令人不安的實務:部分免費 App 內嵌的 SDK(軟體開發套件),正將使用者的裝置,尤其是 24 小時開機的智慧電視,悄悄轉化為所謂的住宅代理伺服器(Residential Proxy),用來協助 AI 產業進行大規模的網頁爬蟲。
什麼是住宅代理伺服器及其運作邏輯
在網路工程中,代理伺服器(Proxy)充當了請求者與目標網站之間的中繼站。一般的企業級爬蟲通常使用資料中心(Datacenter)的 IP 位址,但現代網站為了防範惡意爬蟲,會部署如 Cloudflare 或 DataDome 等反爬蟲機制,一旦偵測到大量請求來自資料中心 IP,會立即封鎖。
為了繞過這些限制,數據公司(如 Bright Data)採取了一種策略:將流量導向真實使用者的家用網路 IP。對於目標網站而言,這些請求看起來像是來自普通的家庭用戶,而非自動化程式,因此較不容易被封鎖。這就是住宅代理伺服器的核心價值。
為什麼智慧電視成為理想目標
對於數據收集公司來說,智慧電視(Smart TV)是極其完美的跳板,原因有三:首先,電視通常接在電源上且長年開機;其次,它們連接在高速且通常沒有流量限制的家用寬頻上;最後,電視在背景運行時幾乎不會被使用者察覺,不會像手機一樣因為電量下降或操作卡頓而引起懷疑。
技術實作與安全漏洞
研究人員透過對 iOS SDK 的逆向工程發現,這套機制在安全性上存在嚴重缺陷。當 App 啟動後,SDK 會連線至伺服器獲取指令,但這個溝通管道幾乎沒有實質的身份驗證(Authentication),其安全等級甚至低於許多惡意軟體。
一旦連線成功,伺服器即可指揮該裝置去抓取其他網站的頁面。在 iOS 裝置上,這種流量甚至能繞過設定好的 VPN,且在背景運行時不會在標準的監控工具中顯現。
同意條款與實際行為的落差
雖然這類服務聲稱使用者已透過同意畫面(Opt-in screen)授權,但實務上存在巨大的資訊不對稱。例如,某款 Roku 上的 App 告知使用者僅會偶爾使用其連線,但 SDK 的實際設定卻允許每月傳輸高達 200 GB 的流量。在某些特定國家,流量限制甚至更高,幾乎允許裝置在電量耗盡前持續運作。
對使用者的實際影響
這類行為雖然不像傳統駭客攻擊會盜取帳號密碼或私人檔案,但它對使用者造成了實質損害:
第一,頻寬盜用。你的網路資源被他人用來獲利,可能導致家庭網路速度下降。 第二,IP 信譽受損。如果你的 IP 被用來進行大量爬蟲,可能會被目標網站列入黑名單,導致你未來在瀏覽某些網站時頻繁出現驗證碼(CAPTCHA)或直接被封鎖。 第三,隱私風險。雖然數據公司強調僅傳輸流量,但將裝置開放為中繼站本身就增加了攻擊面。
如何防禦與阻斷
對於一般工程師或進階使用者,最有效的攔截方式是在路由器層級(Router-level)封鎖該 SDK 使用的域名。建議使用 Pi-hole 或 NextDNS 等 DNS 過濾工具,將以下域名加入黑名單:
proxyjs.brdtnet.com proxyjs.luminatinet.com proxyjs.bright-sdk.com clientsdk.bright-sdk.com clientsdk.brdtnet.com
需要注意的是,若裝置使用行動數據(4G/5G)而非 Wi-Fi,路由器層級的封鎖將失效。此外,數據公司隨時可能更換連線域名,因此需要持續更新阻斷清單。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。