Nowe modele sztucznej inteligencji potrzebują gigantycznych ilości danych do rozwoju, jednak tradycyjne centra danych są masowo blokowane przez systemy anty-scrapingowe. Aby obejść te restrykcje, firmy technologiczne coraz chętniej sięgają po tzw. domowe proxy. Raport firmy Include Security ujawnia, jak izraelskie przedsiębiorstwo Bright Data wykorzystuje soft dostarczany wraz z aplikacjami, by zamieniać smartfony, a przede wszystkim domowe telewizory Smart TV, w niewidoczne węzły przesyłowe dla botów odpowiadających za zasysanie danych z sieci. Wszystko to dzieje się w tle – często za zmanipulowaną zgodą użytkowników, którzy mogą nawet nie być świadomymi tego, iż zostali wciągnięci w taki proceder.
Twój telewizor może zbierać dane dla firmy z Izraela
Z omawianego raportu wynika, iż napomknięte przedsiębiorstwo Bright Data dysponuje globalną siecią proxy składającą się z ponad 400 milionów domowych adresów IP, przez które jej klienci przepuszczają ruch służący do zbierania danych z sieci. Z analizy wynika, że to właśnie telewizory z dostępem do sieci stały się najatrakcyjniejszym celem dla botów AI. Jak stwierdzono, w zestawieniu ze smartfonami wypadają one o wiele korzystniej pod kątem kilku aspektów.
Przede wszystkim, telewizor jest zawsze (no, praktycznie zawsze) podpięty do zasilania, więc nie występuje tu ryzyko rozładowania baterii. Urządzenia te stale korzystają z domowego Wi-Fi o wysokiej przepustowości, bez limitów danych wynikających z pożytkowania się siecią komórkową. Nawet w trybie czuwania Smart TV pozostaje online i może potajemnie przekazywać ruch botów. Co jednak najważniejsze, mało kto monitoruje tego typu sprzęt pod kątem bezpieczeństwa, więc wątpliwy moralnie proceder może być prowadzony bez większych zakłóceń.
Przewijanie długich regulaminów za pomocą strzałek na pilocie jest uciążliwe, a ekrany zgody rzadko uczciwie informują o skali procederu. Przykładowo, w aplikacji Petflix na platformie Roku komunikat obiecuje „okazjonalne” wykorzystanie wolnych zasobów urządzenia w zamian za mniej reklam.
Aby korzystać z serwisu Petflix za darmo i z mniejszą liczbą reklam, wyrażasz zgodę na to, by firma Bright Data sporadycznie wykorzystywała wolne zasoby Twojego urządzenia oraz adres IP do pobierania publicznie dostępnych danych z internetu. Firma Bright Data będzie wykorzystywać Twój adres IP wyłącznie w zatwierdzonych celach biznesowych. Nie uzyskuje się dostępu do żadnych Twoich danych osobowych ani nie są one gromadzone, z wyjątkiem adresu IP. Kropka.
Tymczasem w oficjalnej, jawnej konfiguracji SDK domyślny miesięczny limit transferu dla jednego urządzenia ustawiono na gigantyczne 200 GB. Cóż, pobranie takiej ilości danych raczej trudno określić mianem okazjonalnego.
Oprogramowanie trafia do urządzeń domowych za pośrednictwem zewnętrznych twórców aplikacji, którzy decydują się na kontrowersyjny sposób monetyzacji. Przeanalizowany przez ekspertów publiczny, niezabezpieczony plik konfiguracyjny Bright Data ujawnił listę podmiotów zintegrowanych z systemem. Wśród nich zidentyfikowano:
- PlayWorks Digital Ltd;
- CloudTV;
- Longvision Media HK (LongTV);
- Viber Media S.à r.l. (Rakuten);
- Supercent;
- Moonfrog Labs;
- Hola Networks.
Na domiar wszystkiego, inżynieria wsteczna kodu frameworku (brdsdk.framework) wykazała, iż mamy do czynienia z oprogramowaniem, które stosuje naprawdę zaawansowane techniki, aby ukryć się przed systemami obronnymi.
Nawet VPN ci nie pomoże
Bodaj najciekawszą cechą tego systemu jest zaś funkcja całkowitego omijania sieci VPN na systemach iOS. Wykorzystując oficjalne narzędzia Apple (NWConnection), SDK wymusza ruch bezpośrednio przez fizyczną kartę sieciową. W efekcie boty AI realizują swoje zadania z pominięciem aktywnego tunelu VPN, co czyni ten ruch całkowicie niewidocznym dla firmowych systemów inspekcji sieciowej czy domowej kontroli rodzicielskiej. Osobiście potwierdzili to badacze z Include Security:
Zauważyliśmy to w praktyce. Moja konfiguracja badawcza obejmuje przejrzystą przechwytywanie ruchu TLS. Zarejestrowała ona każde połączenie HTTPS nawiązane przez SDK, z wyjątkiem tunelu peer-to-peer do serwera proxyjs.brdtnet.com:443, mimo że port 443 jest wyraźnie przekierowany do narzędzia Inspector. Obchodzenie to wykorzystuje udokumentowany przez Apple interfejs API NWParameters.requiredInterface.
Zdemaskowano również reguły, według których system uznaje urządzenie użytkownika za bezczynne i gotowe do użycia przez boty. Zgodnie z kodem, smartfon może stać się serwerem proxy nawet wtedy, gdy użytkownik ma włączony ekran lub… rozmawia przez telefon – jedynym warunkiem jest to, by zużycie procesora nie przekraczało 70%, a pamięci RAM 90%.
Jakby tego było mało, wewnętrzny regulamin Bright Data drastycznie różnicuje użytkowników ze względu na kraj pochodzenia. Podczas gdy globalny standardowy limit transferu wynosi 50 MB dziennie (500 MB miesięcznie), w Uzbekistanie oraz Omanie oprogramowanie ma pozwolenie na drenowanie baterii urządzeń aż do poziomu 1% i pobieranie z jednego domostwa do 30 GB danych miesięcznie. Z kolei w Katarze i ZEA limity te są drastycznie obcinane poniżej normy.
0 komentarzy