Casi la mitad de las apps para smart TV de LG incluyen SDK de proxy residencial

 (spur.us)
1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Spur Intelligence Labs analizó 6,038 apps de LG webOS y Samsung Tizen, y encontró SDK de proxy residencial en 2,058 apps, capaces de usar IP residenciales para retransmitir tráfico de terceros
  • Los smart TV están siempre conectados a la corriente y a la red, pero los usuarios no los revisan como una PC, así que incluso después de aceptar una vez y cerrar la app, el proxy puede seguir ejecutándose
  • Los SDK identificados pertenecen a Bright Data, Massive y Honeygain/Oxylabs; algunas apps parecen juegos, salvapantallas o utilidades, pero en realidad monetizan la IP residencial del usuario
  • Amazon prohíbe apps que ayuden a servicios de proxy de terceros y se sabe que Roku también bloqueó SDK del tipo Bright, pero LG y Samsung no han publicado una política pública equivalente
  • Las empresas destacan la revisión de clientes y los límites de tráfico, pero para los usuarios de TV es difícil verificar por sí mismos el uso real del tráfico y si se bloquea el acceso a la red local

Cómo un smart TV termina siendo un host de proxy

  • Las apps de smart TV están menos vigiladas por los usuarios que las apps móviles, pero están conectadas a la misma red del hogar que otros dispositivos de la casa
  • Señales anómalas como consumo de batería, aumento en cargos de datos móviles o actividad en segundo plano visible en el cambiador de apps son difíciles de notar en una TV
  • Si durante la configuración inicial aparece una sola ventana de consentimiento y luego desaparece, la app puede monetizar la conexión incluso cuando el usuario ya olvidó lo que aceptó
  • Apps como relojes, acuarios, salvapantallas o juegos tranquilos suelen empeorar si incluyen anuncios, así que el SDK de proxy se vuelve una vía de monetización en segundo plano

Consentimiento y modelo de monetización

  • Los SDK analizados funcionan pidiendo consentimiento una sola vez y no vuelven a preguntar
  • La condición clave es la ejecución en segundo plano, que permite que el proxy siga activo incluso después de cerrar la app
  • Pac-Man en Tizen presenta Bright Data como una opción sin anuncios
    • Si el usuario rechaza, sigue usando el juego con publicidad
    • Si acepta, la conexión de la TV puede usarse para indexación web
  • El usuario termina eligiendo entre ver anuncios o aportar su TV como parte de una red de proxies

Los publishers y la naturaleza de las apps

  • No se trata solo de SDK de proxy insertados en apps de desarrolladores al azar
  • En el dataset, Bright Data, Bright Data Ltd y Bright SDK aparecen vinculados a 367 apps marcadas con proxy
  • Honeygain UAB es subsidiaria de Oxylabs y figura como publisher de 16 apps
  • Algunas apps se parecen menos a apps normales con un SDK de proxy integrado y más a cáscaras ligeras de juegos, salvapantallas o utilidades hechas para darle espacio de ejecución al SDK
  • En esos casos, la app es el empaque y el verdadero producto es la IP residencial del usuario

Diferencias de políticas entre plataformas

  • Amazon prohíbe explícitamente las apps que ayuden a servicios de proxy de terceros en su Device and System Abuse Policy
  • También se sabe que Roku bloqueó el uso de servicios de proxy similares a Bright SDK
  • LG y Samsung no han publicado estándares equivalentes
  • Un modelo de negocio que Amazon prohíbe y que se sabe que Roku bloqueó fue detectado a gran escala en webOS y Tizen

El riesgo puede extenderse a la red local

  • Si una app de TV actúa como proxy, el riesgo no se limita a prestar una IP pública
  • Como la app se ejecuta dentro de la red del hogar, si el proveedor del proxy permite solicitudes a direcciones privadas o locales, o si falla el filtrado, puede convertirse en un punto de apoyo para acceder a dispositivos internos
  • Entre los posibles objetivos expuestos están el panel de administración del router, NAS, impresoras, cámaras, máquinas de desarrollo y otras apps escuchando en puertos locales
  • En enero de 2026, el caso Kimwolf de KrebsOnSecurity describió una botnet que usó una red de proxies residenciales para tunelizar hacia la red local detrás de endpoints proxy
  • En Kimwolf se observó que los atacantes no solo accedían a tráfico web público, sino también a dispositivos en la misma LAN que el nodo proxy y luego seguían propagándose

Los límites de red que revelan las muestras del SDK

  • Una muestra de Bright Data incluye una lista explícita de bloqueo de direcciones privadas y locales
    • 127.0.0.0/8
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 169.254.0.0/16
    • 192.168.0.0/16
    • 255.255.255.255
  • Esta lista de bloqueo es una señal positiva, pero al mismo tiempo muestra que la TV sí puede crear esas conexiones y que el límite depende del código de política del SDK
  • Una muestra de Massive analiza valores host:port entregados por el servidor y abre conexiones con net.Socket
  • Una muestra de Honeygain/Oxylabs recibe address.host y address.port mediante un mensaje del servidor messageType: "connect", y luego escribe bytes a esa conexión con mensajes por bloques
  • En las muestras locales de Massive y Honeygain/Oxylabs no se encontró una lista de bloqueo de rangos privados comparable a la de Bright Data
  • El límite real no lo impone una imposibilidad técnica, sino la evaluación de clientes del proveedor de proxy, los filtros de tráfico, las reglas internas y la revisión de plataforma de LG y Samsung

Metodología de la investigación

  • En lugar de basarse en descripciones de la tienda o avisos de permisos, se descargaron paquetes reales de apps de LG webOS y Samsung Tizen, se descomprimieron y se escanearon sus archivos internos
  • Las huellas se definieron a partir de artefactos confirmados de los SDK
    • brd_api.js, servicio brd_sdk de Bright Data
    • cliente de Massive y servicio .massivesdk
    • archivos del SDK y nombres de servicio de Honeygain/Oxylabs
    • tokens o nombres de paquete relacionados
  • Todas las apps contadas incluyen huellas confirmadas de SDK de proxy

La postura de las empresas de proxy

  • Bright Data dijo que el consentimiento distingue entre redes legítimas y maliciosas, y que puede demostrarlo mediante un marco transparente y conforme de abastecimiento, evaluación, gobernanza y responsabilidad
    • Afirmó que recibe revisión de auditores independientes y empresas de seguridad
    • Dijo que el uso solo se aprueba para fines legítimos y verificados de negocio, investigación y periodismo
  • Massive dijo que desde la perspectiva del consumidor se enfoca en privacidad y seguridad
    • Reconoció que los endpoints están diseñados para tener un impacto y una interfaz mínimos para el usuario, lo que dificulta que el dueño del dispositivo lo verifique
    • Dijo que antes ofrecía un deslizador para ajustar el uso de recursos, pero que eso generaba una situación de denegación de servicio autoinfligida que los usuarios percibían como problema del producto, por lo que ahora lo cambió por una simple opción de encendido y apagado
    • Los usuarios de la red pasan por procesos KYC para confirmar fines comerciales legítimos
    • Afirmó que los controles técnicos se aplican principalmente del lado del servidor y que no hacen descifrado ni monitoreo de tráfico tipo man-in-the-middle
  • Oxylabs dijo que restringe el acceso a rangos de red privada y local mediante varios controles técnicos a nivel de infraestructura y SDK
    • Incluye filtrado, inspección de tráfico y listas de bloqueo local
    • Dijo que las actualizaciones del SDK pueden tardar en reflejarse en apps de smart TV ya publicadas por la revisión de las tiendas de apps
    • Afirmó que solo las apps aprobadas distribuidas mediante el Honeygain SDK Partnership Program pueden formar parte de la red de proxies
    • Indicó que recibió pruebas de penetración de terceros y auditorías de seguridad, incluidas pruebas para evitar acceso a la red local

La transparencia y el control que necesitan los usuarios

  • Las apps de TV no deberían poder convertir silenciosamente un dispositivo de la sala en infraestructura de proxy residencial
  • Si una app monetiza la conexión de internet del hogar, el usuario debe entender claramente qué significa eso, cómo se usará la conexión y cuáles son los riesgos y compensaciones
  • El problema de fondo no es la existencia de redes de proxies residenciales en sí, sino que se integren masivamente en dispositivos que el consumidor no percibe como computadoras y que son difíciles de inspeccionar
  • Un aviso único de consentimiento dentro de una app de TV no reemplaza una transparencia significativa, control continuo ni supervisión de la plataforma
  • El riesgo aumenta cuando alguien dentro del hogar, como un menor de edad, usa la TV pero no debería tener autoridad para dar ese consentimiento
  • LG y Samsung pueden establecer políticas claras sobre SDK de proxy residencial, exigir avisos visibles y controles para el usuario, y revisar cuidadosamente las apps que retransmiten tráfico de terceros a través de dispositivos de consumo

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Comentarios de Hacker News

  • Si lo vemos de forma algo más principista, por un poco más puedes comprar una pantalla DID/TV comercial decente: https://www.bhphotovideo.com/c/product/1788343-REG/samsung_q...
    Compré una hace unos meses; tiene 4K, brillo suficiente y el color también se ve bien
    No es de gama alta, pero desactivé incluso el Wi‑Fi y la visualización de canales, y uso un Apple TV con CEC del televisor, así que cuando enciendo el Apple TV, la TV arranca directo en la interfaz de Apple, y cuando la apago con el control remoto de Apple, la TV también se apaga
    En la práctica la uso como una pantalla dedicada para Apple TV y estoy satisfecho

    • Si vas a hacer eso, entonces no veo por qué pagar el premium; mejor compras una smart TV subsidiada y simplemente no la conectas a internet
      En HN o Reddit hay especulaciones vagas de que las TVs traen módem celular, pero hasta ahora no se ha confirmado nada
    • Algunas TV TCL se niegan a funcionar si no están conectadas a una red con acceso a los servidores de la empresa matriz
      Por suerte, la Samsung S95D no hace eso, y además su pantalla OLED mate es excelente; se puede usar perfectamente sin conexión de red ni configurar funciones de smart TV
      Lo único que necesito manejar es el volumen y cambiar la entrada HDMI, y uso como fuentes dos AppleTV 4K, cada uno vinculado a un Apple ID de EE. UU. y del Reino Unido respectivamente
      Algún día también conectaré un reproductor 4K Blu‑Ray Oppo UDP-203, pero en los dos años desde que me mudé a la casa nueva no me ha hecho falta
    • Yo dejo la TV como una pantalla tonta y detrás le conecto una laptop corriendo Kubuntu Linux
      Hago todo el streaming con Chrome, y a veces uso un air mouse y un teclado inalámbrico; funciona muy bien
    • Se parece al The Frame de Samsung; me pregunto si tiene superficie mate
      También me interesa saber qué versión de Tizen usa y si permite acceso a la API
    • Ahora que lo pienso, siempre me he preguntado por qué Apple nunca sacó una TV

  • Lo mejor es no conectar nunca una smart TV a la red, y si de verdad no puedes resistirte, deberías ponerla en una VLAN sin gateway y con firewall
    Con lo que te ahorraste al comprar una TV barata por las funciones smart, puedes comprar una mini workstation empresarial usada e instalarle algo como LibreELEC/Kodi para usar ese dispositivo como el equipo inteligente
    No hay absolutamente nada bueno que salga de conectar una TV a internet
    Y además, soy de la idea de que jamás deberías convertirte en un suscriptor que les entrega dinero ni pagar suscripciones

    • En general estoy de acuerdo, pero LibreELEC y otras distros de Kodi no me gustan; son demasiado limitadas
      Hasta hace poco, lo mejor era correr un entorno de escritorio Linux completo, pero ahora existe Plasma Bigscreen[0], diseñado para usarse desde el sofá con control remoto
      Puedes ejecutar Kodi como app, hacer streaming desde el navegador o incluso jugar con Steam
      [0] https://plasma-bigscreen.org/
    • No entiendo por qué nunca deberías suscribirte
      Sí, hoy las suscripciones son caras, pero puedes suscribirte a un servicio, ver lo que quieres, cancelar y luego moverte a otro
      Hay muchas razones para criticar a Amazon, pero al menos en Prime Video puedes suscribirte a otros servicios dentro de la plataforma, verlos en cualquier navegador y luego cancelarlos fácilmente cuando termines
    • Ya había escuchado este consejo antes, y normalmente ponen como alternativa un Apple TV, pero cuando usé una configuración así no me gustó porque tenía que usar dos controles remotos
      Una mejor solución es rootear la TV y castrarle el spyware y el adware
    • La única vez que mi TV estuvo conectada a internet fue para hacer una actualización de software, y en ese momento lo más fácil fue crear un hotspot Wi‑Fi temporal con el teléfono
    • Yo la conecto por cable cada pocos meses para revisar actualizaciones de firmware y cosas así
      Fuera de eso, coincido en mantenerla desconectada

  • Siempre he tenido una aversión instintiva hacia las smart TV, y cada año veo alguna nueva historia de horror artificial que supera lo comprensible, así que ese rechazo va creciendo poco a poco

    • Siento lo mismo por todos los dispositivos “inteligentes” del hogar que requieren conexión a internet y no permiten una configuración solo LAN ni funcionamiento local
      La gente olvida que las TVs se abarataron porque las smart TV están fuertemente subsidiadas por publicidad y datos de visualización
      Intencionalmente mantengo la casa más de baja tecnología de mi grupo
    • Eso también está llegando a los monitores de PC
      LG vuelve a ir al frente empujando tonterías como los “smart gaming monitors”

  • Según el artículo, vale la pena enfatizar que esto no eran apps predeterminadas de LG, sino apps de terceros
    Por el título pensé que era un problema de las apps integradas

    • LG ya ejecuta su propio spyware de reconocimiento de contenido
    • Esto también hace preguntarse si el mismo problema existe en otras smart TV que usan esas mismas apps de terceros

  • Se ve más ético de lo que esperaba
    Pensé que no habría consentimiento alguno, o que el hecho de usarlo como proxy estaría enterrado en una EULA de 20 páginas

    • A este nivel, parece bastante razonable
      La mayoría de los usuarios lo aceptará sin pensarlo mucho, pero al menos, si van a hacer esto, lo están avisando de forma relativamente directa y pidiendo consentimiento
      En plataformas de TV donde este enfoque no está permitido, eso me hace sospechar si las apps no estarán haciendo exactamente lo mismo de forma totalmente oculta y además intentando borrar cualquier rastro

  • Es interesante que en la lista de “publicadores con más apps marcadas como proxy”, el puesto 1 sea Desoline, con base en Netanya, Israel, y el puesto 2 sea Bright Data, con base en Israel

    • Lo hace más interesante que sea un país bastante conocido por spyware y herramientas para hackear iOS
      No estoy sacando conclusiones
    • Para quien no lo sepa, Bright Data antes era Luminati proxy
      Tiene fama de haber hecho muchas cosas turbias

  • Esto debería ser ilegal

    • No sé qué parte debería ser ilegal
    • No entiendo por qué debería serlo
      Lo más cuestionable sería, en todo caso, que la frase de la pantalla de consentimiento sobre “descargar datos web públicos de internet” omite lo que realmente está ocurriendo y los riesgos relacionados
      Fuera de eso, más allá de “los scrapers de IA son malos” o “ocultar la identidad”, parece difícil construir una base de prohibición con principios consistentes
      Los nodos de Tor o las VPN hacen esencialmente lo mismo, solo que con una divulgación mucho más clara de cómo funcionan en realidad

  • No es solo un problema de las apps de smart TV, sino de todas las apps gratis
    Tienen que monetizar de alguna manera, y tampoco les gustan los anuncios, ¿no?
    Al final, si no es así, tendrías que pagar por la app

    • No sé si lo dices con sarcasmo, pero sí sabes que las apps pueden existir sin monetización
      Yo todavía uso Paint.net
    • El problema es que incluso las apps pagadas muestran anuncios y además monetizan por otros lados
    • Sí y no me molestan los anuncios
      Entiendo que Youtube tiene que generar ingresos y pagar salarios
      Hace unos 10 años todavía podía tolerar algo como un anuncio ocasional de 10 segundos al inicio de un clip
      Pero ahora ya cruzaron la línea al empezar a poner dos anuncios seguidos no saltables de forma regular, y terminé usando uBlock o VacuumTube en todos mis dispositivos
    • Si puedo, pago por las apps, pero en algunos casos eso no es posible
      Y además queda el problema de tener que confiar en que incluso las apps pagadas no estén haciendo este tipo de cosas

  • No sé si ya hay suficiente contenido en 4K como para justificar reemplazar mi vieja Samsung LCD 1080p
    En Craigslist todavía se pueden encontrar TVs gratis
    Cuando ves en Costco una TV 4K corriendo en modo demo impresiona, pero en casa, viendo el Mundial por señal abierta o Fios en 1080p, se sigue viendo suficientemente bien
    No pago extra por Netflix 4K, y la mayor parte del contenido de Fios tampoco está en 4K

  • Me encanta mi LG OLED con jailbreak de 2018, pero es amargo pensar que todas las funciones que me gustan son justamente las que el fabricante quiere bloquear activamente y a las que no quiere que yo tenga acceso