Samsung- und LG-Smart-TVs: Kostenlose Apps verwandeln Ihre Geräte heimlich in KI-Stellvertreter

Sobald installiert, verwandelt das SDK stillschweigend den vernetzten Fernseher (CTV) oder das Mobilgerät des Nutzers in einen Ausknoten und leitet den Web-Scraping-Verkehr zahlender Kunden über die Heiminternetverbindung des Nutzers weiter.

Die Forscherin Buchodi, die zusammen mit Include Security arbeitet, erläutert, warum vernetzte Fernseher im Vergleich zu Smartphones ein besonders attraktives Angriffsziel darstellen: Sie sind ständig angeschlossen, dauerhaft mit Wi-Fi verbunden, befinden sich rund um die Uhr im Standby-Modus, unterliegen praktisch keiner unternehmensseitigen oder MDM-gesteuerten Überwachung und werden.

Freie Apps verwandeln Smart-TVs in Proxys Die Konfiguration der SDK bestätigt diese Ausnutzung: Die Flaggen für die Inaktivitäts-Schwelle sind so eingestellt, dass ignore_screen_on: true und ignore_on_call: true gelten, wodurch ein Gerät auch dann als geeignet zur Weiterleitung, wenn ein Nutzer aktiv zuschaut oder ein Gespräch führt.

Der monatliche Standardbandbreitenwert für die Wi-Fi-Weiterleitung

Der monatliche Standardbandbreitenwert für die Wi-Fi-Weiterleitung ist laut den aus dem nicht authentifizierten öffentlichen Endpunkt abgerufenen Konfigurationswerten auf 200 GB pro Gerät begrenzt.

Der gleiche nicht authentifizierte Konfigurationsendpunkt stellt ein Partner-Manifest bereit, das wurde: PlayWorks Digital – über 400 CTV-Spiel-Titel, die über Samsung, LG, Comcast, Roku und Sky verteilt werden und geschätzt 250 Millionen Fernsehhaushalte erreichen; CloudTV – integriert in über 125 TV-Marken und mehr als 15 OEMs; Viber Media (Rakuten) – 250 bis 820 Millionen monatlich aktive Nutzer; Moonfrog Labs – etwa 10 Millionen monatlich aktive Nutzer allein bei Teen Patti Gold; Hola Networks – Muttergesellschaft öffnet eine persistente WebSocket-Verbindung zu proxyjs.brdtnet.com:443, die sich auf AWS Global Accelerator-IPs auflöst und ein TLS-Zertifikat für *.luminatinet.com vorlegt.

Der vor 2018 verwendete Firmenname Networks.

Technischer Hintergrund

Dieser Legacy-Hostname dient als direkter Erkennungspivot für Verteidiger: Jeder Datenverkehr zu luminatinet.com oder brdtnet.com in einem Netzwerk stammt spezifisch aus der Peer-Tunnel-Ebene des SDKs und nicht aus rechtmäßigem Kundenverkehr, dass das SDK die Apple-NWParameters.requiredInterface-API verwendet, um die Datenebene direkt an die physische WLAN- oder Mobilfunk-Schnittstelle zu binden und jegel vom benutzerkonfigurierten VPN vollständig zu umgehen.

Die Steuerungsebene nutzt CFHTTPMessage-Primitive anstelle, wodurch standardmäßige iOS-Instrumentierungswerkzeuge umgangen werden. Diese Kombination stellt sicher, dass der sensibelste Kanal des SDK für typische Sicherheitsschichten unsichtbar bleibt.

Buchodi empfiehlt, folgende DNS-Hostnamen auf Ihrem Router zu blockieren: proxyjs.brdtnet.com proxyjs.luminatinet.com clientsdk.bright-sdk.com Für TLS-basierte Filterung sollten alle Handshakes unterbrochen werden, deren SNI *.brdtnet.com, *.luminatinet.com oder *.luminati.io entspricht.

Administratoren ösungen sollten nach Swift-Binär-Symbolen wie BrdWebSocketFacade und BrdNetwork.DNSResolver suchen, um betroffene Apps auf verwalteten Geräten zu identifizieren. Security hat Bright Data am 11. Mai 2026 über privacy@brightdata.com informiert. Bis zur Veröffentlichung wurde keine Antwort erhalten.