LG akıllı TV uygulamalarının neredeyse yarısında konut tipi proxy SDK'sı bulunuyor

 (spur.us)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Spur Intelligence Labs, LG webOS ve Samsung Tizen için 6.038 uygulamayı analiz ederek, ev tipi IP'leri üçüncü taraf trafiğini aktarmakta kullanabilen konut tipi proxy SDK'larını 2.058 uygulamada tespit etti
  • Akıllı TV'ler sürekli güç ve ağa bağlı olsa da kullanıcılar bunları PC'ler gibi denetlemediği için, bir kez onay verildikten sonra uygulama kapatılsa bile proxy çalışmaya devam edebilir
  • Tespit edilen SDK'lar Bright Data, Massive ve Honeygain/Oxylabs ekosistemine ait; bazı uygulamalar oyun, ekran koruyucu veya yardımcı araç gibi görünse de gerçekte kullanıcının konut tipi IP'sini gelir elde etmek için kullanıyor
  • Amazon'un üçüncü taraf proxy hizmetlerine yardımcı olan uygulamaları yasakladığı ve Roku'nun da Bright SDK benzeri çözümleri engellediği bildiriliyor, ancak LG ve Samsung buna denk kamuya açık bir politika yayımlamış değil
  • Şirketler müşteri incelemesi ve trafik kısıtlarını vurgulasa da TV kullanıcılarının trafiğin gerçek kullanım amacını ve yerel ağ erişiminin engellenip engellenmediğini doğrudan doğrulaması zor

Akıllı TV'lerin proxy ana bilgisayarına dönüşme biçimi

  • Akıllı TV uygulamaları, mobil uygulamalara göre kullanıcı gözetimine daha az maruz kalıyor; buna karşın evdeki diğer cihazlarla aynı ev ağına bağlılar
  • Pil tüketimi, hücresel veri ücretlerindeki artış veya uygulama değiştiricide görülen arka plan etkinliği gibi anormallikler TV'lerde fark edilmesi zor belirtiler
  • İlk kurulum sırasında çıkan tek seferlik bir onay istemi geçtikten sonra, kullanıcı içeriği unutsa bile uygulama bağlantıyı gelir kaynağına çevirmeyi sürdürebilir
  • Saat, akvaryum, ekran koruyucu veya sessiz oyun gibi uygulamalarda reklam eklemek deneyimi kolayca bozduğundan, proxy SDK'ları arka plan gelir modeli haline geliyor

Onay ve gelir elde etme modeli

  • İncelenen SDK'lar, bir kez onay aldıktan sonra tekrar sormayan şekilde çalışıyor
  • Temel koşul, uygulama kapandıktan sonra da proxy'nin çalışmayı sürdürebilmesini sağlayan arka planda çalışma özelliği
  • Tizen'deki Pac-Man, Bright Data'yı reklamsız bir seçenek olarak sunuyor
    • Reddedilirse reklam destekli oyun kullanılmaya devam ediliyor
    • Kabul edilirse TV bağlantısı web indeksleme için kullanılabiliyor
  • Kullanıcı ya reklam izlemeyi ya da TV'sini proxy ağının bir parçası olarak sunmayı seçmiş oluyor

Yayıncılar ve uygulamaların niteliği

  • Proxy SDK'ları yalnızca rastgele uygulama geliştiricilerine eklenmiş yapılar değil
  • Veri setinde Bright Data, Bright Data Ltd ve Bright SDK, 367 proxy işaretli uygulamayla ilişkilendirildi
  • Honeygain UAB, Oxylabs'ın bir iştiraki ve 16 uygulamanın yayıncısı olarak görünüyor
  • Bazı uygulamalar, normal bir uygulamaya eklenmiş proxy SDK'sından çok, SDK'nın çalışacağı alanı sağlamak için oluşturulmuş ince oyun/ekran koruyucu/yardımcı araç kabuklarına benziyor
  • Bu durumlarda uygulama yalnızca ambalaj; asıl ürün kullanıcının konut tipi IP'si oluyor

Platformlara göre politika farkları

  • Amazon, Device and System Abuse Policy içinde üçüncü taraf proxy hizmetlerine yardımcı olan uygulamaları açıkça yasaklıyor
  • Roku'nun da Bright SDK ve benzeri proxy hizmetlerinin kullanımını engellediği bildiriliyor
  • LG ve Samsung buna denk kamuya açık standartlar yayımlamış değil
  • Amazon'un yasakladığı ve Roku'nun engellediği bildirilen iş modeli, webOS ve Tizen'de büyük ölçekte tespit edildi

Yerel ağa uzanan riskler

  • TV uygulaması proxy'ye dönüştüğünde risk, sadece genel IP'nin kiralanmasıyla sınırlı kalmıyor
  • Uygulama ev ağı içinde çalıştığı için, proxy sağlayıcısı özel/yerel adres isteklerine izin verirse ya da filtreleme başarısız olursa, iç cihazlara erişim için bir atlama noktası haline gelebilir
  • Maruz kalabilecek hedefler arasında yönlendirici yönetim paneli, NAS, yazıcılar, kameralar, geliştirici makineleri ve yerel portlarda dinleyen diğer uygulamalar bulunuyor
  • Ocak 2026 tarihli KrebsOnSecurity'deki Kimwolf vakasında, konut tipi proxy ağını kullanarak proxy uç noktasının arkasındaki yerel ağa tünelleyen bir botnet ele alındı
  • Kimwolf'ta saldırganların yalnızca açık web trafiğine değil, proxy düğümüyle aynı LAN üzerindeki cihazlara da erişip daha fazla yayılabildiği görüldü

SDK örneklerinin gösterdiği ağ sınırları

  • Bright Data örneğinde açık bir özel/yerel engelleme listesi bulunuyor
    • 127.0.0.0/8
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 169.254.0.0/16
    • 192.168.0.0/16
    • 255.255.255.255
  • Bu engelleme listesi olumlu bir sinyal, ancak aynı zamanda TV'nin bu bağlantıları kurabildiğini ve sınırın SDK'nın politika koduna bağlı olduğunu gösteriyor
  • Massive örneği, sunucunun verdiği host:port değerini ayrıştırıp net.Socket ile bağlantı açıyor
  • Honeygain/Oxylabs örneği, messageType: "connect" sunucu mesajıyla address.host ve address.port değerlerini alıyor, ardından parça mesajlarıyla bu bağlantıya bayt yazıyor
  • Yerel Massive ve Honeygain/Oxylabs örneklerinde, Bright Data örneğindekiyle karşılaştırılabilir bir özel ağ engelleme listesi bulunamadı
  • Gerçek sınır, teknik imkânsızlıktan değil, proxy şirketlerinin müşteri incelemesi, trafik filtreleri, iç kuralları ve LG/Samsung'un platform incelemeleriyle korunuyor

Araştırma yöntemi

  • Çalışma, mağaza açıklamalarına veya izin istemlerine değil, gerçek LG webOS ve Samsung Tizen uygulama paketlerinin indirilip açılmasına ve iç dosyaların taranmasına dayanıyor
  • Parmak izleri, doğrulanmış SDK çıktıları temel alınarak oluşturuldu
    • Bright Data'nın brd_api.js dosyası, brd_sdk servisi
    • Massive istemcisi ve .massivesdk servisi
    • Honeygain/Oxylabs SDK dosyaları ve servis adları
    • İlgili token'lar veya paket adları
  • Toplanan tüm uygulamalar, doğrulanmış proxy SDK parmak izlerini içeriyor

Proxy şirketlerinin görüşü

  • Bright Data, onayın yasal ağlarla kötü amaçlı ağları ayırdığını ve bunun şeffaf, mevzuata uygun kaynak sağlama, inceleme, yönetişim ve sorumluluk çerçevesiyle kanıtlanabildiğini söylüyor
    • Bağımsız denetçiler ve güvenlik şirketleri tarafından incelendiklerini belirtiyor
    • Kullanımın yalnızca yasal ve doğrulanmış iş, araştırma ve gazetecilik amaçları için onaylandığını ifade ediyor
  • Massive, tüketici tarafında gizlilik ve güvenliğe odaklandığını söylüyor
    • Uç noktaların kullanıcı üzerinde en az etki ve en az arayüz bırakacak şekilde tasarlandığını, bu nedenle cihaz sahibinin doğrulama yapmasının zor olduğunu kabul ediyor
    • Geçmişte kaynak kullanımını ayarlayan bir kaydırıcı sunduğunu, ancak bunun kullanıcıların ürün sorunu olarak algıladığı kendi kendine neden olunan hizmet reddi durumları yarattığını ve bu yüzden artık basit bir aç/kapat seçeneğine geçildiğini belirtiyor
    • Ağ kullanıcılarının, meşru iş amaçlarını doğrulamak için KYC sürecinden geçtiğini söylüyor
    • Teknik kontrollerin çoğunun sunucu tarafında uygulandığını, ortadaki adam yöntemiyle trafik çözme veya izleme yapmadıklarını ifade ediyor
  • Oxylabs, altyapı ve SDK seviyesinde çeşitli teknik kontrollerle özel/yerel ağ aralıklarına erişimi sınırladığını söylüyor
    • Buna filtreleme, trafik incelemesi ve yerel engelleme listeleri dahil
    • SDK güncellemelerinin dağıtılmış akıllı TV uygulamalarına yansımasının, uygulama mağazası incelemeleri nedeniyle zaman alabileceğini belirtiyor
    • Honeygain SDK Partnership Program üzerinden dağıtılan onaylı uygulamaların yalnızca proxy ağına dahil edilebildiğini söylüyor
    • Üçüncü taraf sızma testleri ve güvenlik denetimi aldığını; bunlara yerel ağ erişimini önleme testlerinin de dahil olduğunu belirtiyor

Kullanıcılar için gereken şeffaflık ve kontrol

  • TV uygulamaları, salondaki cihazları sessizce konut tipi proxy altyapısına dönüştürememeli
  • Bir uygulama ev internet bağlantısını gelir elde etmek için kullanıyorsa, kullanıcı bunun ne anlama geldiğini, bağlantının nasıl kullanılacağını, riskleri ve tavizleri açıkça bilmelidir
  • Sorunun özü, konut tipi proxy ağlarının varlığı değil; bunların, tüketicinin bilgisayar olarak görmediği ve denetlemesinin zor olduğu cihazlara büyük ölçekte gömülmesi
  • TV uygulamasındaki tek seferlik onay istemi; anlamlı şeffaflığın, sürekli kontrolün ve platform denetiminin yerini tutamaz
  • Ev içinde TV kullanan ancak onay verme yetkisine sahip olmaması gereken, örneğin reşit olmayan kişiler onay verebildiğinde risk büyür
  • LG ve Samsung, konut tipi proxy SDK'ları için net politikalar belirleyebilir; görünür bildirim ve kullanıcı kontrolü zorunlu kılabilir; tüketici cihazları üzerinden üçüncü taraf trafiği aktaran uygulamaları yakından inceleyebilir

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News görüşleri

  • Biraz ilkesel yaklaşmak gerekirse, biraz daha fazla ödeyip düzgün bir DID/ticari TV alınabilir: https://www.bhphotovideo.com/c/product/1788343-REG/samsung_q...
    Birkaç ay önce aldım; 4K, yeterince parlak ve renkleri de fena değil
    En üst seviye değil ama Wi-Fi'yi ve kanal göstergesini bile kapattım; Apple TV'yi de TV'nin CEC özelliğiyle kullanıyorum, böylece Apple TV açılınca TV doğrudan Apple arayüzüyle açılıyor ve Apple kumandasıyla kapatınca TV de kapanıyor
    Fiilen yalnızca Apple TV için bir ekran gibi kullanıyorum ve memnunum

    • Öyleyse neden ekstra para veresiniz ki; sübvanse edilmiş bir akıllı TV alıp internete bağlamamak daha mantıklı olmaz mı?
      HN ya da Reddit'te TV'lerde hücresel modem bulunduğuna dair belirsiz tahminler var ama şu ana kadar doğrulanmış değil
    • Bazı TCL TV'ler, şirket merkezinin sunucularına erişebilen bir ağa bağlanmadıkça çalışmayı reddediyor
      Neyse ki Samsung S95D böyle değil; mat OLED ekranı da güzel ve ağ bağlantısı ya da akıllı TV özellikleri kurulmadan da gayet iyi kullanılabiliyor
      İhtiyaç duyulan tek kontroller ses seviyesi ve HDMI giriş değiştirme; kaynak olarak da biri ABD Apple ID'sine, diğeri Birleşik Krallık Apple ID'sine bağlı iki AppleTV 4K kullanıyorum
      Bir gün Oppo UDP-203 4K Blu-Ray oynatıcıyı da bağlarım ama yeni eve taşındığımdan beri geçen 2 yılda buna ihtiyaç duymadım
    • TV'yi hep aptal bir ekran olarak bırakıp arkasına Kubuntu Linux çalışan bir dizüstü bağladım
      Her şeyi Chrome ile stream ediyorum, bazen de air mouse ve kablosuz klavye kullanıyorum; gayet iyi çalışıyor
    • Samsung'un The Frame modeline benziyor ama mat yüzeyli mi diye merak ettim
      Hangi Tizen sürümü var ve API erişimi mümkün mü, onu da merak ediyorum
    • Düşününce, Apple neden hiç TV çıkarmadı diye insan merak ediyor

  • Akıllı TV'leri asla ağa bağlamamak en iyisi; ille de bağlamak istiyorsanız, güvenlik duvarlı ve ağ geçidi olmayan bir VLAN'a koymalısınız
    Akıllı özellikler sayesinde daha ucuza aldığınız farkla ikinci el kurumsal mini workstation alıp üzerine LibreELEC/Kodi benzeri bir şey kurarak o cihazı akıllı cihaz olarak kullanabilirsiniz
    TV'yi internete bağlayarak elde edilecek iyi hiçbir şey yok
    Ve asla para saçan bir abone olmayın; yani abonelik de almayın görüşündeyim

    • Genel olarak katılıyorum ama LibreELEC ya da diğer Kodi dağıtımları pek iyi değil, fazla kısıtlı
      Yakın zamana kadar tam bir Linux masaüstü ortamı çalıştırmak en iyi seçenekti ama artık koltuktan kumandayla kullanıma uygun tasarlanmış Plasma Bigscreen[0] var
      Kodi'yi uygulama olarak açabilir, tarayıcıdan stream edebilir ya da Steam ile oyun oynayabilirsiniz
      [0] https://plasma-bigscreen.org/
    • Neden asla abone olunmaması gerektiğini anlamıyorum
      Evet, abonelik ücretleri bugünlerde pahalı ama bir hizmete abone olup istediğinizi izledikten sonra iptal edip başka bir hizmete geçebilirsiniz
      Amazon hakkında eleştirilecek çok şey var ama en azından Prime Video'da diğer hizmetlere onun içinden abone olabilir, herhangi bir tarayıcıdan izleyebilir ve işiniz bitince gerçekten kolayca iptal edebilirsiniz
    • Bu tavsiyeyi daha önce de duydum ve genelde alternatif olarak Apple TV öneriliyor ama böyle bir kurulum kullandığımda iki kumanda kullanmak zorunda kalmak hoşuma gitmedi
      Daha iyi çözüm, TV'yi rootlayıp casus yazılımı ve reklam yazılımını hadım etmek
    • TV'min internete bağlı olduğu tek zaman yazılım güncellemesi yaptığım zamandı; o sırada da telefonla geçici bir Wi-Fi hotspot açmak en kolayıydı
    • Birkaç ayda bir firmware güncellemelerini vb. kontrol etmek için kabloyla bağlıyorum
      Onun dışında çevrimdışı tutma konusunda hemfikirim

  • Eski zamandan beri akıllı TV'lere karşı içgüdüsel bir tiksintim vardı; her yıl akıl almaz yeni bir yapay korku hikâyesi gördükçe bu tiksinti biraz daha büyüyor

    • İnternet bağlantısı gerektiren ve yalnızca LAN ayarı ya da çalıştırmaya izin vermeyen evdeki tüm “akıllı” cihazlar için de aynı duyguyu taşıyorum
      İnsanlar TV'lerin ucuzlamasının nedeninin, akıllı TV'lerin reklam ve izleme verileriyle ağır biçimde sübvanse edilmesi olduğunu unutuyor
      Bilerek yaşıtlarım arasında teknolojisi en düşük evi korumaya çalışıyorum
    • Bu durum PC monitörlerine de geliyor
      LG yine başı çekip “akıllı oyun monitörü” gibi aynı saçmalığı itiyor

  • Habere göre burada vurgulanması gereken şey, bunun LG'nin varsayılan uygulamaları değil üçüncü taraf uygulamalar olması
    Başlığa bakınca gömülü uygulamalarla ilgili bir sorun sandım

    • LG zaten kendi casus yazılımı olan içerik tanımayı çalıştırıyor
    • Aynı üçüncü taraf uygulamaları kullanan diğer akıllı TV'lerde de aynı sorunun olup olmadığını merak ediyorum

  • Beklediğimden daha etik görünüyor
    Ya hiç onay alınmadığını ya da proxy olarak kullanılma kısmının 20 sayfalık EULA'nın içine gömüldüğünü sanmıştım

    • Bu kadarı oldukça makul görünüyor
      Kullanıcıların çoğu düşünmeden kabul edecektir ama bunu yapmak isteyenler için en azından nispeten açık şekilde bildirip onay alma yöntemi bu
      TV platformlarında buna izin verilmeyen durumlarda, uygulamaların aynı şeyi tamamen gizlice yapıp üstüne izlerini de saklamaya çalıştığından şüphe ettiriyor

  • “Proxy olarak işaretlenen uygulamaları en çok yayınlayanlar” listesinde 1 numaranın Netanya, Israel merkezli Desoline, 2 numaranın da Israel merkezli Bright Data olması ilginç

    • Casus yazılım ve iOS hack araçlarıyla epey tanınan bir ülke olduğu için daha da ilginç
      Bir sonuca varmış değilim
    • Bilmeyenler için söyleyeyim, Bright Data eskiden Luminati proxy idi
      Epey şüpheli işler yaptığıyla tanınır

  • Bu yasadışı olmalı

    • Hangi kısmının yasadışı olması gerektiğini bilmiyorum
    • Neden öyle olması gerektiğini anlamıyorum
      En fazla tartışmalı sayılabilecek nokta, onay ekranındaki “internetten herkese açık web verilerini indirme” ifadesinin gerçekte ne olduğunu ve ilgili riskleri anlatmaması olabilir
      Bunun dışında, “AI scraper kötü” ya da “kimlik gizleme” dışında ilkesel bir yasak gerekçesi üretmek zor görünüyor
      Tor aktarıcıları ya da VPN'ler de aslında aynı işi yapıyor; sadece gerçek işleyiş konusunda açıklamaları daha net

  • Bu sadece akıllı TV uygulamalarının değil, tüm ücretsiz uygulamaların sorunu
    Bir şekilde para kazanmaları gerekiyor ve reklam gösterildiğinde de insanlar bundan hoşlanmıyor
    Sonuçta bu tür yöntemler yoksa uygulama için para ödemeniz gerekir

    • Bunun alay mı olduğunu bilmiyorum ama uygulamaların gelir elde etmeden de var olabileceğini biliyorsunuzdur
      Ben hâlâ Paint.net kullanıyorum
    • Sorun şu ki ücretli uygulamalar da reklam gösterip ayrıca para kazanmaya çalışıyor
    • Reklamlardan hoşlanmamak hem doğru hem değil
      Youtube'un gelir üretmesi ve çalışanlarına maaş ödemesi gerektiğini anlıyorum
      Yaklaşık 10 yıl önce olduğu gibi klibin başında ara sıra çıkan tek bir 10 saniyelik reklamı tolere edebiliyordum
      Ama şimdi düzenli olarak atlanamayan iki reklamı art arda göstermeye başlayınca çizgiyi aştılar ve tüm cihazlarda uBlock ya da VacuumTube kullanmaya başladım
    • Mümkün olduğunda uygulamalar için para ödüyorum ama bazı durumlarda bu mümkün olmuyor
      Ayrıca ücretli uygulamaların da böyle şeyler yapmadığına güvenmek zorunda kalma sorunu ortada duruyor

  • Eski Samsung 1080p LCD'mi değiştirecek kadar 4K içeriğin yeterli olup olmadığından emin değilim
    Craigslist'te hâlâ bedava TV bulunabiliyor
    Costco'da demo modunda çalışan 4K TV'ler etkileyici görünüyor ama evde Dünya Kupası'nı karasal yayın ya da Fios 1080p üzerinden izlediğimde yeterince iyi görünüyor
    Netflix 4K için ekstra para ödemiyorum ve Fios içeriğinin büyük kısmı da 4K değil

  • 2018 model jailbreak yapılmış LG OLED'imi gerçekten seviyorum ama hoşuma giden tüm özelliklerin, üreticinin aktif biçimde engellemek istediği ve benim erişmemi istemediği özellikler olması biraz acı