Oturma odanızdaki akıllı TV, yapay zeka scraping ekonomisinin bir düğümü

• Tüketici uygulamalarına yerleştirilen Bright Data SDK, kullanıcı onayıyla telefonu veya akıllı TV’yi konut tipi proxy çıkış düğümüne dönüştürüyor ve müşterinin web scraping trafiğini ev tipi IP üzerinden yönlendiriyor
• Konut tipi proxy, Cloudflare, DataDome, HUMAN gibi hizmetlerin bilinen bulut IP’lerinden gelen istekleri sınırladığı veya engellediği ortamlarda, ücretli konut müşterisinin IP’siyle hedef siteye ulaşmak için kullanılan bir baypas yöntemi
• Bağlantılı TV’ler pil kısıtı olmadan, sürekli Wi‑Fi’a bağlı ve bekleme durumunda 7/24 çalıştığı için telefonlara kıyasla süreklilik ve başında kimsenin olmaması açısından daha elverişli proxy koşulları sunuyor
• iOS SDK, kimlik doğrulaması olmayan bir yapılandırma uç noktasından boşta kalma ölçütü, bant genişliği sınırı ve iş ortağı listesini alıyor; ardından cihaz durumu telemetrisi ile cmd_tun scraping görevlerini işlemek için WebSocket peer tüneli açıyor
• Savunma tarafında odak noktaları proxyjs.* ve clientsdk.* DNS engellemesi, SNI filtreleme, TLS sertifika parmak izi tespiti ve MDM uygulama ikili dosya taraması; iOS’taki use_netifs ise VPN tabanlı görünürlüğü aşan bir kısıt

Genel bakış

• Yapay zeka yeteneklerini artırmak için veri merkezi inşasına yönelik topluluk düzeyindeki muhalefetten bağımsız olarak, ev içindeki cihazlar yapay zeka eğitimi için dağıtık veri toplamada kullanılabilecek bir yapıya sahip
• Bright Data, müşterilere web scraping trafiğini yönlendirebilecekleri 400M+ ev tipi IP adresinden oluşan bir konut tipi proxy ağına erişim satıyor; kaynak tarafında ise tüketici uygulamalarına yerleştirilen SDK’lar bulunuyor
• Söz konusu SDK, kullanıcı onayıyla telefonları veya akıllı TV’leri çıkış düğümüne dönüştürüyor; bu inceleme de SDK’nın nasıl çalıştığını, hangi platformlara dağıtıldığını ve internete bağlı TV’lerin neden yapay zeka modelleri için web scraping proxy’sine uygun olduğunu ele alıyor

Neden şimdi önemli

• Yapay zeka şirketleri ön eğitim, arama ve retrieval-augmented kullanım, ajan grounding ve arama özellikleri için web scraping içeriğine bağımlı
• Modern web, veri merkezlerinden kolayca scrape edilemeyen bir ortam; Cloudflare, DataDome, HUMAN gibi hizmetler bilinen bulut IP’lerinden gelen istekleri sınırlıyor veya engelliyor
• Alternatif ise Comcast ya da T-Mobile abonelerinin bağlantılarında olduğu gibi, ücretli konut müşterisinin IP’sinden hedef siteye ulaşan konut tipi proxy
• Ekim 2025 tarihli Krebs haberinden alıntı: “Aisuru ve diğer kaynaklardan gelen proxy fazlası, birden fazla yapay zeka projesiyle bağlantılı büyük ölçekli veri hasadı çabalarını körüklüyor.”
• 2019’a kadar giden akademik ölçümler, bu tür ağların ezici çoğunlukla kötüye kullanıldığını gösteriyor; FBI da bu yılın başında resmî bir uyarı yayımladı
• Mevcut haberlerin çoğu Aisuru ve Kimwolf gibi botnet’ler, PROXYLIB gibi Truva atına dönüştürülmüş uygulamalar ve IPIDEA gibi önceden enfekte IoT donanımları üzerinden sağlanan yasa dışı konut tipi proxy tedarikine odaklanıyor
• Yasal tedarik tarafı nispeten daha az incelendi; Bright Data ise kendi pazarlama ölçütlerine göre dünyanın en büyük konut tipi proxy ağı olarak, iş ortağı uygulamalarına yerleştirilen onaylı SDK tabanlı “150M+ IPs” reklamı yapıyor

Bağlantılı TV’ler neden ideal proxy’ler

• TV’ler pili %1’e düşmeyen, Wi‑Fi ağları arasında sık geçiş yapmayan ve kullanıcı uyurken kilitlenmeyen cihazlar
• Bazı iş ortağı yayıncılar gizlilik politikalarında Bright Data ilişkisini açıklıyor; PlayWorks gizlilik politikası buna bir örnek
• Ancak gizlilik politikası açıklaması TV için uygun bir kontrol noktası değil; kumandanın yön tuşlarıyla hukuki belgeleri kaydırmak zor ve uygulama içi onay pencereleri, ücretli Bright Data müşterilerinin kullanıcının ev interneti üzerinden scraping trafiği yönlendirdiğini aktarmıyor
• The Verge’ün belgelediği Roku uygulaması Petflix’in opt-in ekranında şu ifade yer alıyor: “Daha az reklam görmek ve ücretsiz keyif almak için, Bright Data’nın cihazınızın boşta duran kaynaklarını ve IP adresini zaman zaman internetin herkese açık web verilerini indirmek için kullanmasına izin verin.”
• Petflix penceresi “zaman zaman” ifadesini kullanıyor, ancak herkese açık olarak sorgulanabilen SDK yapılandırmasındaki max_bw_monthly_wifi: 200,000,000,000, aylık varsayılan Wi‑Fi bütçesinin 200 GB olduğunu gösteriyor

Bright Data’nın iş ortağı olarak adlandırdığı taraflar

• Bright Data, kimlik doğrulaması olmadan herkesin çekebildiği bir iş ortağı manifest uç noktası yayımlıyor
• Açık kaynaklara göre yüksek güvenilirlikte tanımlama öğeleri

• desoline, free_time, ott_studio, global_microtrading, m_m_media, easystaff_lp manifestte yer alıyor, ancak kamuya açık kaynaklardan bunları tanımlamak zor
• bright_screensavers, bright_videos, brightdata Bright Data’nın kendi uygulamaları
• Bright Data ayarlarında bir adın yer alması, bir noktada entegrasyon yapılmış olabileceği anlamına gelir; ancak belirli bir yayıncının şu anda dağıttığı uygulamanın üretim ortamında SDK barındırdığına dair doğrudan kanıt değildir
• İş ortağı listesinin doğrudan kanıtladığı şey, Bright Data’nın bu listeyi kimlik doğrulaması olmayan herkese açık bir endpoint’te dağıttığı ve PlayWorks, CloudTV, Longvision gibi en az üç CTV odaklı işletmenin kullanıcı cihazlarını konut tipi proxy çıkış düğümleri olarak gelir elde etmek için kullandığıdır
• PlayWorks, kendi pazarlama materyallerine göre başlıca TV platformları ve ISP’ler genelinde CTV dağıtımı yaptığını ve yüz milyonlarca haneye ulaştığını belirtiyor

Bright Data SDK'nin kullanıcı cihazlarını konut tipi proxy çıkış düğümlerine dönüştürme biçimi

• Bright Data SDK, yayıncılar için SDK entegrasyon belgelerine ve web için bir JavaScript variant'ına sahip, herkese açık olarak belgelenmiş ticari bir ürün

• Analiz, dağıtımdaki iOS framework'ünün tersine mühendisliği ve 30 günlük çalışma zamanı trafik ölçümüne dayanıyor

• SDK, iş ortağı uygulamaların içinde iOS framework'ü brdsdk.framework biçiminde dağıtılıyor

• Kimlik doğrulaması olmayan yapılandırma

  • SDK her çalıştığında şu isteği çağırıyor
  • GET https://clientsdk.bright-sdk.com/sdk_config_ios.json/…;
  • Uç nokta anlamlı bir kimlik doğrulama olmadan çalışıyor; sunucu yalnızca uygulama bundle ID'si olan appid ve SDK sürüm dizesi olan ver adlı iki sorgu parametresini kontrol ediyor
  • İş ortağı uygulamanın App Store listesinden bulunabilen bundle ID, SDK sürüm dizesi ve rastgele üretilmiş bir UUID sağlandığında, gerçek cihazın aldığı yanıtla aynı yapılandırma döndürülüyor
  • Yanıtta özellik bayrakları, pil yüzdesi·CPU/bellek üst sınırları·Wi‑Fi/hücresel kuralları gibi boşta algılama eşikleri, ülke bazlı bant genişliği katmanları ve iş ortağı manifest'ini içeren bir yapı bulunuyor
  • Yapılandırmada, cihazın trafik aktarma uygunluğu kazanacağı boşta kalma kuralları, eş trafiğini VPN çevresinden yönlendiren bayraklar, platformlar arası kurulumları tek bir kimliğe bağlayan bir map ve ülke bazlı bant genişliği sınırları yer alıyor

• Eş tüneli

  • Yapılandırmayı aldıktan sonra SDK şu adrese kalıcı bir WebSocket açıyor
  • wss://proxyjs.brdtnet.com:443
  • Bu ana makine adı, yazının hazırlandığı sırada AWS Global Accelerator IP'leri 3.33.193.183, 15.197.193.114 olarak çözülüyor
  • TLS sertifikası CN=*.luminatinet.com; Luminati Networks ise Bright Data'nın 2018 öncesi şirket adı
  • 2018'deki yeniden markalamadan sonra bile etkin SDK altyapısı legacy sertifikalar kullanıyor ve luminatinet.com veya brdtnet.com trafiği, müşteri tarafında Bright Data kullanımından değil, eş tünel plane'inin tespitinden yana bir ipucu
  • Güncel müşteri odaklı proxy hizmeti brightdata.com markalı alan adlarında çalıştığından, ağdaki luminatinet.com·brdtnet.com trafiği eş tünel plane'idir
  • Sunucu kendini uWebSockets: 20 olarak tanımlıyor
  • Eş uç noktası upgrade sırasında kimlik doğrulama istemiyor; TLS ile geçerli bir WebSocket upgrade'ini kabul ettikten sonra istemcinin genel IP'sini geri veren bir uygulama katmanı çerçevesini hemen gönderiyor
  • El sıkışma akışı
  • 1. Sunucu → İstemci tunnel_init: oturum oluşturur ve istemcinin genel IP'sini döndürür
  • 2. Sunucu → İstemci cid_set: <IP>-<token>/ls<N>c<M>p443_<IP>_<counter> biçiminde bir oturum izleme tanımlayıcısı atar; bunun gerçek cihaz telemetrisindeki cid alanıyla eşleştiği doğrulanmıştır
  • 3. Sunucu → İstemci status_get: cihazın boşta durumu, pili, ağ türü ve kullanılabilir bant genişliği için polling yapar; cihaz da idle, wifi_connected, mobile_connected, mobile_type, roaming, battery_level, using_battery, screen_on, on_call, cpu_usage, mem_usage, raw_bw, bw, ipv6_supported, appid, sdk_version, platform, cid ve benzeri sürekli telemetriyle yanıt verir
    Reklam
  • 4. El sıkışma tamamlandıktan sonra cihaz elverişli durumda olduğunu bildirirse, sunucunun iş eşleme katmanı cmd_tun çerçevelerini itebilir; SDK da bunları kullanıcının konut tipi IP'sini çıkış noktası olarak kullanan üçüncü taraf site HTTP istekleri olarak yürütür
  • WebSocket'teki tüm çerçeveler sabit bir envelope'a sahip düz JSON'dur
  • {"type": "ipc_call"|"ipc_post"|"ipc_result"|"ipc_error","cmd": <command>, "cookie": <correlation-id>,"err_code": 0, "msg": { ...payload... }}
  • Binary'den çıkarılan ve gerçek iletişimde doğrulanan komutlar
  • | Yön | cmd | Amaç |
  • |---|---|---|
  • | Sunucu → İstemci | tunnel_init | Oturum açma, genel IP echo |
  • | Sunucu → İstemci | cid_set | Oturum tanımlayıcısı atama |
  • | Sunucu → İstemci | status_get | Cihazın boşta durumu·pil·bant genişliği için polling |
  • | Sunucu → İstemci | cmd_tun / tun | Scraping işi iletimi |
  • | Sunucu → İstemci | dns | Hedef DNS çözümleme isteği |
  • | Sunucu → İstemci | consent | Onay durumu isteği |
  • | İstemci → Sunucu | status_send | Cihaz durumu için periyodik heartbeat |
  • | İstemci → Sunucu | tun_report / tun_ack / tun_fin | Aktarma işinin yaşam döngüsü yanıtları |
  • | İstemci → Sunucu | tunnel_init_decline | Oturumu reddetme |
  • | İstemci → Sunucu | logs | Tanılama log'larını sunucuya gönderme |
  • Mesaj imzası, HMAC, istemci sertifikası veya cihaz attestation'ı yok; gerçek işi alan eşleri ayıran unsurlar yalnızca TLS katmanı ve sunucunun IP itibar filtresi
  • Ticari kötü amaçlı yazılım protokol tasarımına aşina okurlar açısından, tipik bir C2'ye göre fiilen daha düşük güvenlik düzeyi

• SDK'nin “boşta” saydığı koşullar

  • Yapılandırma, cihazın başkalarının trafiğini aktarabileceği durum kurallarını açıkça belirtiyor

  "idle_metrics": {
    "ignore_screen_on": true,
    "ignore_on_call": true,
    "max_bw_ratio": 1,
    "min_battery": 0.2,
    "wifi_on_battery": true,
    "min_battery_wifi": 0.2,
    "max_cpu_usage": 70,
    "max_mem_usage": 90,
    "mem_screen_off": true,
    "idle_timeout": 30,
    "not_idle_timeout": 10
  }
  

  • ignore_screen_on ve ignore_on_call bayrakları nedeniyle “boşta”, kullanıcının cihazdan uzak olduğu anlamına değil; CPU·bellek·pilin SDK eşikleri içinde olduğu anlamına geliyor
  • Kullanıcı görüşme yaparken veya ekrandaki içeriği aktif biçimde okurken bile durum, aktarma amacıyla boşta kabul ediliyor

• Platformlar arası kimlik bağlama

  • Yapılandırmada şu dual_pairing map'i bulunuyor
  Reklam

  "dual_pairing": {
    "ios_com.brd.earnapp": ["win_earnapp.com", "mac_com.earnapp"]
  }
  

  • Bu map, aynı markaya ait iOS, Windows ve macOS kurulumlarını tek bir varlık altında toplayan sunucu tarafı bir bağlama yapısı
  • http3_enabled: true alanı, QUIC tabanlı eş aktarımı için bir bayrak; gelecekteki sürümler eş tünelini TCP/443'ten UDP/443'e taşıyabilir
  • TCP bağlantı takibiyle WebSocket tespiti yapan savunmalar, UDP/443'e geçişte tespit yöntemlerinin bozulduğunu görebilir

• İncelemeyi atlatma

  • SDK yapılandırmasındaki use_netifs: true bayrağı, SDK binary kodunun sistemin varsayılan yolu yerine belirli zorunlu arayüzlerle NWConnection kurmasını sağlayan koşul
  • Zorunlu arayüzler, Wi‑Fi için en0 veya hücresel için pdp_ip0
  • iOS'ta bu yöntem, yapılandırılmış VPN'in tun0 arayüzünü tamamen atlıyor; uygulamanın diğer HTTPS trafiği VPN'den geçse bile eş tüneli kullanıcının yapılandırdığı VPN'den geçmiyor

• Şeffaf TLS araya girme araştırma ortamı, SDK’nın tüm HTTPS çağrılarını yakaladı; ancak 443 numaralı port açıkça denetleyiciye yönlendirilmiş olmasına rağmen proxyjs.brdtnet.com:443 eş tünelini yakalayamadı

  • Baypas, Apple’ın belgelenmiş NWParameters.requiredInterface API’sini kullanıyor
  • SDK iki bağımsız denetim baypası kullanıyor
  • Control plane: Yapılandırma çekme ve telemetri ping’leri, URLSession ve NSURLConnection yerine CFNetwork’ün CFHTTPMessage primitive’lerini temel alıyor; bu da mobil uygulama güvenlik araçlarında yaygın olan URLSession düzeyi enstrümantasyonu, swizzling’i, network extension’ları ve URLProtocol alt sınıflarını etkisiz kılarken sistem proxy’sine saygı göstererek TLS araya girme araştırmacıları için görünürlüğü koruyor
  • Data plane: Eş tüneli, fiziksel arayüzün zorunlu arayüz olarak ayarlandığı NWConnection tabanlı; VPN’i etkisiz kılıyor ve scraping’in konut tipi IP’lerden çalışmasını garanti ediyor
  • MDM, kurumsal VPN tabanlı trafik denetimi ve ev yönlendiricisi ebeveyn kontrolleri kullanan güvenlik ekipleri için en hassas kanal, görünürlük katmanını baypas edecek şekilde tasarlanmış durumda

Ülkeye göre katmanlar

• Ayarlarda ülkeye göre bant genişliği eşikleri bulunuyor

• Uzbekistan ve Oman cihazlarında pil %1'e kadar röleye izin veriliyor; günlük sınır varsayılanın 20 katı, aylık sınır ise varsayılanın 60 katı
• Qatar ve UAE cihazları, varsayılandan daha düşük sınırlarla kısıtlanıyor
• Ülkeye göre katmanların neden bu şekilde yapılandırıldığı kesin olarak belirlenemiyor; yalnızca tahmin yürütülebilir
• Dünya genelindeki varsayılan izin bile, kullanıcının ev interneti üzerinden her ay başkalarının trafiğine 500MB izin veriyor

Test kurulumu ve metodoloji

• 30 gün boyunca, rızayla kurulmuş partner uygulamaları çalıştıran iOS cihazlarında TLS interception proxy yakalaması yapıldı; örnek uygulamalar arasında Bright SDK gömülü XYO COIN de yer alıyordu
• brdsdk.framework version 1.532.120 için, iOS arm64 ikili dosyası üzerinde statik analiz yapıldı
• Bright Data'nın belirli ana makine adları, sertifika parmak izleri ve TLS altyapısı, aynı istekleri yapan herkes tarafından açıkça gözlemlenebilir
• Belgede, araştırma filosu ya da araştırma istemcisine ait oturum bazlı tanımlayıcı veri bulunmuyor

Zaman çizelgesi

• 11 Mayıs 2026'da privacy@brightdata.com adresine yayımlama öncesi bildirim e-postası gönderildi
• Yayımlanma anına kadar bu bildirime herhangi bir yanıt gelmedi

Savunma yaklaşımı

• Trafik, ağ sınırında açık bir fingerprint bırakıyor ve SDK, uygulama ikili dosyasında tanımlanabilir semboller bırakacak şekilde yapılandırılmış
• Yaklaşım 1, DNS engelleme; ağ üzerinden yönlendirilen cihazlar için basit ve etkili bir yöntem
  • proxyjs.brdtnet.com
  • proxyjs.luminatinet.com
  • proxyjs.bright-sdk.com
  • clientsdk.bright-sdk.com
  • clientsdk.brdtnet.com
• proxyjs.* engellemesi peer tünelini keser ve Bright Data müşterilerinin diğer alan adlarında çalışan proxy hizmetlerini meşru biçimde kullanan müşterileri etkilemez
• Yaklaşım 2, TLS SNI filtreleme; server_name değeri *.brdtnet.com, *.luminatinet.com, *.luminati.io ile eşleşen TLS handshake'lerini engelleyen veya uyaran yöntem
• SNI filtreleme, TLS incelemesi olmadan ağ sınırında çalışır
• Yaklaşım 3, TLS sertifika parmak izi tespiti; aşağıdaki parmak izlerine göre engelleme veya uyarı üretir
  • .brdtnet.com → SHA256 313ce4ec7d5a51e5…
  • .luminatinet.com → SHA256 5028612e625befea…
• Sertifika parmak izleri, Sectigo sertifika yenilemesine kadar sabittir ve mevcut sertifikalar 2026 ortasına kadar geçerlidir
• use_netifs ile ilgili kısıtlar nedeniyle, üç katmanın tamamı yalnızca trafik ağ sınırından geçtiğinde çalışır
• iOS cihazı hücresel ağı kullanırken SDK'nin use_netifs bağlaması, peer trafiğinin kurumsal Wi-Fi'yi tamamen atlamasına yol açan bir koşul oluşturur
• Yönetilen cihaz filoları için telafi edici kontrol, MDM tabanlı uygulama ikili dosyası taramasıdır; kurulu uygulamalarda Swift sembolleri BrdWebSocketFacade ve BrdNetwork.DNSResolver aranır ve bu sembolleri içeren uygulamalar şirkete ait cihazlarda yasaklanır
• Belirli bir akıllı TV veya mobil uygulamadan endişe duyan ev kullanıcıları, yönlendiricinin DNS ayarlarında yukarıdaki ana makine adlarını engelleyebilir
• Engelleme aracı örnekleri: Pi-hole, NextDNS, Cloudflare Gateway, ya da ISS'nin eşdeğer özelliği