Bright Data, der Nachfolger von Luminati, betreibt nach eigenen Angaben das größte Residential-Proxy-Netzwerk der Welt und wirbt mit mehr als 400 Millionen privaten IP-Adressen. Ein Teil dieses Angebots stammt laut den Forschern aus dem in kostenlosen Apps eingebetteten SDK. Bright Data beschreibt diesen Pool als einwilligungsbasiert und mit mehr als 150 Millionen IP-Adressen.
Die am 5. Juni veröffentlichte Untersuchung von Include Security und Buchodi zeigt, dass die tiefsten technischen Belege aus der Analyse des iOS-SDK stammen. Beim Start einer App kontaktiert das SDK einen Bright-Data-Server, der dem Gerät Anweisungen übermittelt, ohne laut Forschung ernsthaft zu prüfen, wer die Anfrage stellt. Anschließend kann der Server das Gerät anweisen, Inhalte anderer Websites über den Heimanschluss des Nutzers abzurufen.
Besonders kritisch bewerten die Forscher den Kanal, über den diese Aufträge laufen. Ihm fehlten die üblichen Sicherheitsprüfungen; Buchodi beschreibt ihn als „schwächer als die Kommando-und-Kontroll-Kanäle, die die meiste Schadsoftware verwendet“. Auf iPhones habe die Analyse zudem gezeigt, dass der Datenverkehr an einer konfigurierten VPN-Verbindung vorbeigeht. Ein großer Teil der Aktivitäten tauche außerdem nicht in den Werkzeugen auf, die Sicherheitsteams normalerweise zur App-Überwachung einsetzen. Das Gerät könne im Hintergrund weiter als Relay dienen, solange der Akku nicht fast leer ist, selbst wenn jemand auf den Bildschirm schaut oder telefoniert.
Nach Darstellung der Forscher deckt sich der Einwilligungsbildschirm nicht mit dem, was das SDK tatsächlich erlaubt. In einer Roku-App namens Petflix hieß es demnach, Gerät und Verbindung würden nur „gelegentlich“ genutzt. Die geladenen Einstellungen erlauben laut Analyse jedoch bis zu 200 GByte Datenverkehr pro Monat. In einigen Ländern, darunter Usbekistan und Oman, liegen die Grenzwerte den Forschern zufolge deutlich höher; außerdem dürfe das Gerät dort fast bis zur vollständigen Akkuentladung weiterarbeiten. Das SDK könne zudem ein Telefon und Computer einer Person, auf denen Apps desselben Anbieters laufen, als einen einzigen Nutzer zusammenfassen.
Für den Smart-TV-Bezug verweisen die Forscher auf Bright Datas Plattformunterstützung, die öffentliche Partnerliste des Unternehmens und frühere Berichte. Auf dieser Liste stehen unter anderem Hersteller von Smart-TV-Apps wie PlayWorks Digital, CloudTV und Longvision. Zugleich betont die Untersuchung, dass ein Eintrag auf der Liste nur belegt, dass ein Unternehmen irgendwann mit Bright Data zusammengearbeitet hat. Ob eine konkrete App das SDK heute noch enthält, müsse jeweils einzeln geprüft werden.
Bright Data widerspricht zentralen Teilen der Einordnung. In einer E-Mail an The Hacker News erklärte das Unternehmen, der Einwilligungsbildschirm sei ausdrücklich formuliert, nenne Bright Data, verlinke Datenschutzerklärung und Lizenzbedingungen und ermögliche den Ausstieg in zwei Schritten, ohne dass die App dadurch unbenutzbar werde. Das SDK erreiche nur freigegebene Domains, erhebe keine personenbezogenen Daten und keinen Browserverlauf, verwende lediglich die IP-Adresse des Geräts und verursache im Durchschnitt rund 50 MByte pro Tag im WLAN. Außerdem pausiere es, wenn das Gerät ausgelastet sei oder der Akkustand niedrig werde. Bright Data verweist zusätzlich auf unabhängige Audits und Zertifizierungen, darunter einen Bericht von PwC, eine AppEsteem-Zertifizierung sowie ISO- und SOC-2-Nachweise im eigenen Trust Center.
Neu ist laut Quelle weniger das Modell als dessen Ausmaß. Luminati war aus Hola VPN hervorgegangen; bereits 2015 wurde bekannt, dass Hola die Bandbreite seiner Gratisnutzer über Luminati als Exit-Knoten verkaufte, damals für 20 US-Dollar pro Gigabyte. Verändert habe sich vor allem die Nachfrageseite: Anti-Bot-Systeme von Cloudflare, DataDome und anderen blockierten Scraper aus Rechenzentrums-IP-Bereichen, weshalb KI-Scraper auf private Internetanschlüsse ausweichen.
Der Smart-TV-Aspekt war laut Quelle zuerst im Februar von Lowpass, verbreitet über The Verge, aufgegriffen worden; die neue Veröffentlichung liefert nun die technische Zerlegung. Google, Amazon und Roku haben Hintergrund-Proxy-SDKs inzwischen eingeschränkt, und Bright Data hat diese Plattformen fallengelassen, führt aber weiterhin Samsungs Tizen und LGs webOS auf.
Wer den Datenverkehr unterbinden will, kann laut Bericht die vom SDK genutzten Adressen auf Netzwerkebene blockieren, etwa mit Pi-hole oder NextDNS. Genannt werden proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com und clientsdk.brdtnet.com. Nach Angaben der Forscher verhindert das, dass ein Gerät als Relay arbeitet, ohne den kostenpflichtigen Dienst zu beeinträchtigen, der auf getrennten Adressen laufe. Unternehmen mit verwalteten Diensthandys könnten außerdem nach Apps suchen, die das SDK enthalten. Allerdings kann der Verkehr im Mobilfunk das Firmen-WLAN umgehen; zudem könnte Bright Data die Verbindungsweise des SDK künftig ändern, sodass Sperrlisten angepasst werden müssten.