Hampir setengah aplikasi smart TV LG menyertakan SDK proxy residensial

 (spur.us)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Spur Intelligence Labs menganalisis 6.038 aplikasi LG webOS dan Samsung Tizen, dan menemukan SDK proxy residensial yang dapat memakai IP rumah untuk meneruskan trafik pihak ketiga pada 2.058 aplikasi
  • Smart TV selalu terhubung ke listrik dan jaringan, tetapi pengguna tidak memeriksanya seperti PC, sehingga setelah sekali menyetujui, proxy dapat terus berjalan meski aplikasinya sudah ditutup
  • SDK yang teridentifikasi berasal dari Bright Data, Massive, dan lini Honeygain/Oxylabs; beberapa aplikasi tampak seperti game, screen saver, atau utilitas, tetapi sebenarnya memonetisasi IP residensial milik pengguna
  • Amazon diketahui melarang aplikasi yang membantu layanan proxy pihak ketiga, dan Roku juga memblokir SDK jenis Bright, tetapi LG dan Samsung belum mengeluarkan kebijakan publik yang setara
  • Para vendor menekankan peninjauan pelanggan dan pembatasan trafik, tetapi pengguna TV sulit memverifikasi sendiri penggunaan trafik yang sebenarnya dan apakah akses ke jaringan lokal diblokir

Bagaimana smart TV menjadi host proxy

  • Aplikasi smart TV mendapat pengawasan lebih sedikit dari pengguna dibanding aplikasi ponsel, tetapi tetap terhubung ke jaringan rumah yang sama dengan perangkat lain di rumah
  • Tanda-tanda aneh seperti baterai cepat habis, biaya seluler meningkat, atau aktivitas latar belakang yang terlihat di app switcher sulit tampak di TV
  • Setelah satu prompt persetujuan terlewati saat pengaturan awal, aplikasi dapat memonetisasi koneksi meski pengguna sudah lupa isi persetujuannya
  • Aplikasi seperti jam, akuarium, screen saver, atau game santai mudah merusak pengalaman jika dipasangi iklan, sehingga SDK proxy menjadi sarana monetisasi di latar belakang

Cara persetujuan dan monetisasi bekerja

  • SDK yang diteliti bekerja dengan meminta persetujuan sekali lalu tidak menanyakannya lagi
  • Syarat utamanya adalah eksekusi latar belakang yang memungkinkan proxy tetap berjalan setelah aplikasi ditutup
  • Pac-Man di Tizen menawarkan Bright Data sebagai opsi tanpa iklan
    • Jika ditolak, pengguna tetap memakai game yang didukung iklan
    • Jika diterima, koneksi TV dapat dipakai untuk pengindeksan web
  • Pengguna dihadapkan pada pilihan antara menonton iklan atau menyediakan TV sebagai bagian dari jaringan proxy

Publisher dan karakter aplikasi

  • Struktur ini bukan sekadar SDK proxy yang disisipkan ke pengembang aplikasi acak
  • Dalam dataset, Bright Data, Bright Data Ltd, dan Bright SDK terhubung dengan 367 aplikasi yang ditandai sebagai proxy
  • Honeygain UAB adalah anak perusahaan Oxylabs dan muncul sebagai publisher untuk 16 aplikasi
  • Beberapa aplikasi lebih mirip cangkang tipis game, screen saver, atau utilitas yang dibuat untuk menyediakan ruang bagi SDK agar berjalan, alih-alih aplikasi biasa yang kebetulan berisi SDK proxy
  • Dalam kasus seperti ini, aplikasinya hanyalah kemasan, dan produk sebenarnya adalah IP residensial pengguna

Perbedaan kebijakan antar platform

  • Amazon secara eksplisit melarang aplikasi yang membantu layanan proxy pihak ketiga dalam Device and System Abuse Policy
  • Roku juga diketahui memblokir penggunaan layanan proxy yang mirip Bright SDK
  • LG dan Samsung belum mengeluarkan standar publik yang setara
  • Model bisnis yang diketahui dilarang Amazon dan diblokir Roku justru ditemukan dalam skala besar di webOS dan Tizen

Risiko yang meluas hingga jaringan lokal

  • Jika aplikasi TV menjadi proxy, risikonya tidak berhenti pada sekadar meminjamkan IP publik
  • Karena aplikasi berjalan di dalam jaringan rumah, jika penyedia proxy mengizinkan permintaan ke alamat privat/lokal atau penyaringannya gagal, aplikasi itu dapat menjadi titik pijak untuk mengakses perangkat internal
  • Target yang bisa terekspos mencakup panel admin router, NAS, printer, kamera, mesin developer, dan aplikasi lain yang menunggu pada port lokal
  • Dalam kasus Kimwolf oleh KrebsOnSecurity pada Januari 2026, dibahas botnet yang menggunakan jaringan proxy residensial untuk membuat tunnel ke jaringan lokal di balik endpoint proxy
  • Pada Kimwolf, terlihat cara penyerang mengakses perangkat di LAN yang sama dengan node proxy dan menyebar lebih jauh, bukan hanya memakai trafik web publik

Batas jaringan yang terlihat dari sampel SDK

  • Sampel Bright Data menyertakan daftar blok privat/lokal yang eksplisit
    • 127.0.0.0/8
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 169.254.0.0/16
    • 192.168.0.0/16
    • 255.255.255.255
  • Daftar blok ini adalah sinyal positif, tetapi sekaligus menunjukkan bahwa TV memang dapat membuat koneksi tersebut dan batasnya bergantung pada kode kebijakan SDK
  • Sampel Massive mem-parsing nilai host:port yang diberikan server lalu membuka koneksi dengan net.Socket
  • Sampel Honeygain/Oxylabs menerima address.host dan address.port melalui pesan server messageType: "connect", lalu menulis byte ke koneksi tersebut lewat pesan chunk berikutnya
  • Pada sampel Massive dan Honeygain/Oxylabs lokal, tidak ditemukan daftar blok rentang privat yang sebanding dengan sampel Bright Data
  • Batas sebenarnya dipertahankan bukan oleh kemustahilan teknis, melainkan oleh peninjauan pelanggan perusahaan proxy, filter trafik, aturan internal, dan peninjauan platform LG/Samsung

Metode investigasi

  • Penelitian ini tidak bergantung pada deskripsi toko aplikasi atau prompt izin, melainkan dengan mengunduh paket aplikasi LG webOS dan Samsung Tizen yang nyata, mengekstraknya, lalu memindai file internalnya
  • Sidik jari didasarkan pada artefak SDK yang terverifikasi
    • brd_api.js dan layanan brd_sdk milik Bright Data
    • Klien Massive dan layanan .massivesdk
    • File SDK dan nama layanan Honeygain/Oxylabs
    • Token atau nama paket terkait
  • Semua aplikasi yang dihitung mengandung sidik jari SDK proxy yang telah diverifikasi

Sikap perusahaan proxy

  • Bright Data menyatakan bahwa persetujuan membedakan jaringan legal dari jaringan berbahaya, dan hal itu dapat dibuktikan melalui kerangka sourcing, peninjauan, tata kelola, dan akuntabilitas yang transparan serta patuh aturan
    • Mereka menyebut telah ditinjau auditor independen dan perusahaan keamanan
    • Penggunaan hanya disetujui untuk tujuan bisnis, riset, dan jurnalisme yang legal dan terverifikasi
  • Massive menyatakan berfokus pada privasi dan keamanan dari sisi konsumen
    • Mereka mengakui bahwa endpoint dirancang agar berdampak dan berantarmuka minimal bagi pengguna, sehingga sulit diverifikasi oleh pemilik perangkat
    • Dulu mereka menyediakan slider untuk mengatur penggunaan sumber daya, tetapi kini diubah menjadi opsi nyala/mati sederhana karena pengguna bisa menimbulkan kondisi mirip penolakan layanan terhadap dirinya sendiri dan menganggapnya sebagai masalah produk
    • Pengguna jaringan menjalani proses KYC untuk memverifikasi tujuan bisnis yang sah
    • Kontrol teknis terutama dilakukan di sisi server, dan mereka mengatakan tidak melakukan dekripsi atau pemantauan trafik dengan pendekatan man-in-the-middle
  • Oxylabs menyatakan membatasi akses ke rentang jaringan privat/lokal melalui berbagai kontrol teknis di tingkat infrastruktur dan SDK
    • Termasuk filtering, inspeksi trafik, dan daftar blok lokal
    • Mereka menyebut pembaruan SDK bisa butuh waktu untuk masuk ke aplikasi smart TV yang sudah dirilis karena proses review app store
    • Hanya aplikasi yang disetujui dan didistribusikan melalui Honeygain SDK Partnership Program yang dapat masuk ke jaringan proxy
    • Mereka juga menyebut telah menjalani penetration test pihak ketiga dan audit keamanan, termasuk pengujian pencegahan akses jaringan lokal

Transparansi dan kontrol yang dibutuhkan pengguna

  • Aplikasi TV seharusnya tidak bisa diam-diam mengubah perangkat di ruang keluarga menjadi infrastruktur proxy residensial
  • Jika aplikasi memonetisasi koneksi internet rumah, pengguna harus memahami dengan jelas artinya, cara koneksi digunakan, serta risiko dan trade-off-nya
  • Inti masalahnya bukan keberadaan jaringan proxy residensial itu sendiri, melainkan fakta bahwa jaringan itu ditanamkan secara luas ke perangkat yang tidak dianggap sebagai komputer dan sulit diaudit oleh konsumen
  • Prompt persetujuan sekali di dalam aplikasi TV tidak dapat menggantikan transparansi yang bermakna, kontrol berkelanjutan, dan pengawasan platform
  • Risiko membesar ketika orang yang memakai TV di rumah, seperti anak di bawah umur, dapat memberikan persetujuan padahal tidak semestinya memiliki wewenang untuk itu
  • LG dan Samsung dapat menetapkan kebijakan yang jelas soal SDK proxy residensial, mewajibkan pemberitahuan yang mencolok dan kontrol pengguna, serta meninjau secara ketat aplikasi yang meneruskan trafik pihak ketiga melalui perangkat konsumen

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Komentar Hacker News

  • Kalau bicara agak normatif, dengan tambah sedikit uang kamu bisa beli TV DID/komersial yang lumayan: https://www.bhphotovideo.com/c/product/1788343-REG/samsung_q...
    Saya membelinya beberapa bulan lalu, 4K, kecerahannya cukup, dan reproduksi warnanya juga lumayan
    Memang bukan kelas paling atas, tapi saya sudah mematikan Wi-Fi dan bahkan tampilan channel, lalu memakai Apple TV dengan CEC TV, jadi saat Apple TV dinyalakan TV langsung hidup ke antarmuka Apple, dan saat dimatikan dengan remote Apple, TV juga ikut mati
    Praktis saya memakainya seperti layar khusus Apple TV dan saya puas

    • Kalau begitu, rasanya tidak perlu bayar premium; beli saja smart TV yang disubsidi lalu jangan sambungkan ke internet
      Di HN atau Reddit memang ada dugaan samar bahwa TV punya modem seluler, tapi sejauh ini belum pernah terkonfirmasi
    • Beberapa TV TCL menolak berfungsi jika tidak terhubung ke jaringan yang bisa mengakses server kantor pusatnya
      Untungnya Samsung S95D tidak begitu, dan layar OLED matte-nya juga bagus, serta bisa dipakai dengan baik tanpa koneksi jaringan atau pengaturan fitur smart TV
      Satu-satunya kontrol yang dibutuhkan hanya volume dan perpindahan input HDMI, dan saya memakai dua AppleTV 4K yang masing-masing terikat ke Apple ID AS dan Apple ID Inggris sebagai sumber
      Suatu saat saya juga akan menyambungkan pemutar 4K Blu-Ray Oppo UDP-203, tapi selama 2 tahun sejak pindah ke rumah baru belum perlu
    • Saya tetap menjadikan TV sebagai layar bodoh, lalu memasang laptop yang menjalankan Kubuntu Linux di belakangnya
      Semuanya saya streaming lewat Chrome, kadang pakai air mouse dan keyboard nirkabel, dan itu bekerja sangat baik
    • Kelihatannya seperti Samsung The Frame, saya penasaran apakah permukaannya matte
      Saya juga penasaran versi Tizen-nya berapa dan apakah akses API tersedia
    • Kalau dipikir-pikir, aneh juga kenapa Apple tidak pernah merilis TV

  • Sebaiknya smart TV jangan pernah disambungkan ke jaringan, dan kalau benar-benar tidak tahan ingin menyambungkannya, masukkan ke VLAN tanpa gateway yang dipagari firewall
    Dengan uang yang dihemat karena fitur smart-nya, kamu bisa beli mini workstation enterprise bekas dan memasang LibreELEC/Kodi atau semacamnya di sana lalu memakai perangkat itu sebagai perangkat smart
    Tidak ada hal baik yang bisa didapat dari menyambungkan TV ke internet
    Dan saya juga berpendapat jangan pernah jadi pelanggan yang rutin bayar dan jangan berlangganan apa pun

    • Secara umum saya setuju, tapi LibreELEC atau distro Kodi lain kurang bagus dan terlalu terbatas
      Sampai baru-baru ini solusi terbaik adalah menjalankan lingkungan desktop Linux penuh, tetapi sekarang ada Plasma Bigscreen[0] yang dibuat agar nyaman dipakai dari sofa dengan remote
      Kamu bisa menjalankan Kodi sebagai aplikasi, streaming lewat browser, atau bermain game lewat Steam
      [0] https://plasma-bigscreen.org/
    • Saya tidak paham kenapa berlangganan itu sama sekali tidak boleh
      Memang biaya langganan sekarang makin mahal, tapi kamu bisa berlangganan satu layanan, menonton yang kamu mau, membatalkannya, lalu pindah ke layanan lain
      Ada banyak alasan untuk mengkritik Amazon, tetapi setidaknya di Prime Video kamu bisa berlangganan layanan lain dari dalam sana, menontonnya dari browser apa pun, dan saat selesai benar-benar mudah untuk membatalkannya
    • Saya sudah pernah dengar saran seperti ini, dan biasanya alternatifnya adalah memakai Apple TV, tapi setelah mencoba konfigurasi seperti itu saya tidak suka karena harus memakai dua remote
      Solusi yang lebih baik adalah me-root TV lalu mengebiri spyware dan adware-nya
    • Satu-satunya saat TV saya terhubung ke internet adalah saat melakukan pembaruan perangkat lunak, dan waktu itu paling mudah membuat hotspot Wi‑Fi sementara dari ponsel
    • Saya menyambungkannya lewat kabel tiap beberapa bulan untuk mengecek pembaruan firmware dan sebagainya
      Selain itu saya setuju untuk membiarkannya tetap offline

  • Sejak dulu saya punya rasa muak naluriah terhadap smart TV, dan setiap tahun saya melihat kisah horor buatan baru yang melampaui nalar, rasa muak itu sedikit demi sedikit makin besar

    • Saya merasakan hal yang sama terhadap semua perangkat “smart” di rumah yang membutuhkan koneksi internet dan tidak mengizinkan pengaturan khusus LAN atau pengoperasian lokal
      Orang-orang lupa bahwa alasan TV menjadi murah adalah karena smart TV sangat disubsidi oleh iklan dan data tontonan
      Saya sengaja mempertahankan rumah yang paling rendah teknologinya dibanding teman sebaya saya
    • Ini juga mulai merambah monitor PC
      LG lagi-lagi berada di barisan depan mendorong omong kosong seperti “smart gaming monitor”

  • Berdasarkan artikelnya, patut ditekankan bahwa ini bukan aplikasi bawaan LG melainkan aplikasi pihak ketiga
    Dari judulnya saya kira masalahnya ada pada aplikasi internal

    • LG sendiri sudah menjalankan spyware miliknya, yaitu pengenalan konten
    • Jadi muncul pertanyaan apakah masalah yang sama juga ada pada smart TV lain yang memakai aplikasi pihak ketiga yang sama

  • Ini tampak lebih etis daripada yang saya kira
    Saya menduga tidak ada persetujuan sama sekali, atau fakta bahwa perangkat dipakai sebagai proxy disembunyikan di EULA 20 halaman

    • Pada level ini, kelihatannya cukup masuk akal
      Kebanyakan pengguna memang akan menerimanya tanpa banyak pikir, tetapi setidaknya kalau mau melakukan hal seperti ini, caranya adalah dengan memberi tahu dan meminta persetujuan secara relatif terus terang
      Kalau pendekatan seperti ini tidak diizinkan di platform TV, saya jadi curiga aplikasi-aplikasi melakukan hal yang sama sepenuhnya diam-diam sambil berusaha menyembunyikan jejaknya

  • Menarik bahwa di daftar “penerbit dengan aplikasi terbanyak yang ditandai sebagai proxy”, peringkat 1 adalah Desoline yang berbasis di Netanya, Israel, dan peringkat 2 adalah Bright Data yang berbasis di Israel

    • Itu terasa lebih menarik karena negara itu cukup dikenal soal spyware dan alat peretasan iOS
      Saya belum menarik kesimpulan apa pun
    • Untuk yang belum tahu, Bright Data dulu adalah Luminati proxy
      Sudah cukup dikenal sering melakukan hal-hal mencurigakan

  • Ini seharusnya ilegal

    • Saya tidak tahu bagian mana yang seharusnya ilegal
    • Saya juga tidak paham kenapa harus begitu
      Kalaupun mau dipermasalahkan secara samar, mungkin pada frasa di layar persetujuan “mengunduh data web publik dari internet” karena itu menghilangkan apa yang sebenarnya terjadi dan risiko terkaitnya
      Selain itu, tampaknya sulit membuat dasar pelarangan yang berprinsip selain “AI scraper itu buruk” atau “menyembunyikan identitas itu buruk”
      Tor relay atau VPN pada dasarnya juga melakukan hal yang sama, hanya saja pengungkapan tentang cara kerjanya lebih jelas

  • Ini bukan hanya masalah aplikasi smart TV, tapi masalah semua aplikasi gratis
    Mereka harus dimonetisasi entah bagaimana, dan orang juga tidak suka kalau melihat iklan
    Pada akhirnya, kalau bukan begini, ya aplikasinya harus dibayar

    • Saya tidak tahu apakah itu sindiran, tapi Anda tahu kan bahwa aplikasi bisa ada tanpa monetisasi
      Saya masih memakai Paint.net sekarang
    • Masalahnya, aplikasi berbayar juga menampilkan iklan dan tetap dimonetisasi
    • Saya memang benci iklan, tapi juga tidak sepenuhnya
      Saya paham Youtube harus menghasilkan pendapatan dan membayar gaji karyawan
      Sekitar 10 tahun lalu saya masih bisa menoleransi satu iklan 10 detik sesekali di awal klip
      Tapi sekarang mereka sudah kelewatan dengan rutin memutar dua iklan beruntun yang tidak bisa dilewati, jadi saya memakai uBlock atau VacuumTube di semua perangkat
    • Kalau bisa saya memang membayar aplikasi, tetapi dalam beberapa kasus itu tidak mungkin
      Lagi pula masih ada masalah bahwa kita harus percaya aplikasi berbayar juga tidak melakukan hal seperti ini

  • Saya tidak yakin apakah sudah ada cukup banyak konten 4K untuk layak mengganti Samsung 1080p LCD lama
    Di Craigslist Anda masih bisa menemukan TV gratis
    Saat melihat TV 4K dalam mode demo di Costco memang mengesankan, tetapi di rumah saat menonton World Cup lewat siaran terestrial atau Fios 1080p, tampilannya sudah cukup bagus
    Saya tidak membayar biaya tambahan untuk Netflix 4K, dan sebagian besar konten Fios juga bukan 4K

  • Saya sangat menyukai LG OLED jailbreak keluaran 2018 saya, tetapi rasanya pahit karena semua fitur yang saya sukai justru adalah fitur-fitur yang ingin diblokir secara aktif oleh pabrikan dan tidak ingin saya akses