LG Smart TV ऐप्स के लगभग आधे में residential proxy SDK शामिल

 (spur.us)
1 पॉइंट द्वारा GN⁺ 4 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Spur Intelligence Labs ने LG webOS और Samsung Tizen के 6,038 ऐप्स का विश्लेषण किया और पाया कि 2,058 ऐप्स में ऐसे residential proxy SDK हैं जो घरेलू IP को third-party ट्रैफिक relay करने में इस्तेमाल कर सकते हैं
  • Smart TV हमेशा power और network से जुड़े रहते हैं, लेकिन users उन्हें PC की तरह जांचते नहीं, इसलिए एक बार सहमति देने के बाद ऐप बंद करने पर भी proxy चलता रह सकता है
  • पहचाने गए SDK में Bright Data, Massive, और Honeygain/Oxylabs परिवार शामिल हैं; कुछ ऐप्स गेम, screen saver या utility जैसे दिखते हैं, लेकिन वास्तव में users के residential IP से कमाई करते हैं
  • Amazon ने third-party proxy services को मदद देने वाले ऐप्स पर रोक लगाई है और बताया जाता है कि Roku ने भी Bright SDK जैसे पैकेज block किए हैं, लेकिन LG और Samsung ने ऐसी समान सार्वजनिक नीति जारी नहीं की है
  • कंपनियां customer screening और traffic limits पर जोर देती हैं, लेकिन TV users के लिए वास्तविक traffic use और local network access blocking को खुद verify करना मुश्किल है

Smart TV proxy host कैसे बनता है

  • Smart TV ऐप्स पर users की निगरानी mobile apps की तुलना में कम होती है, लेकिन वे घर के दूसरे devices की तरह उसी home network से जुड़े होते हैं
  • Battery drain, cellular charges बढ़ना, या app switcher में दिखने वाली background activity जैसे संकेत TV पर आसानी से दिखाई नहीं देते
  • शुरुआती setup के दौरान एक बार consent prompt पार हो जाने पर, user के भूल जाने के बाद भी ऐप उस connection से कमाई कर सकता है
  • Clock, aquarium, screen saver, या simple games जैसे ऐप्स में ads डालने से experience खराब हो सकता है, इसलिए proxy SDK background monetization का साधन बन जाता है

सहमति और monetization का तरीका

  • जांच में शामिल SDK एक बार consent मिलने के बाद दोबारा नहीं पूछते
  • मुख्य शर्त है background execution, यानी ऐप बंद होने के बाद भी proxy चलता रह सकता है
  • Tizen पर Pac-Man Bright Data को ad-free विकल्प के रूप में दिखाता है
    • मना करने पर user ad-supported game इस्तेमाल करता रहता है
    • मान लेने पर TV connection web indexing के लिए इस्तेमाल हो सकता है
  • User के सामने विकल्प होता है: ads देखना या TV को proxy network का हिस्सा बनाना

Publishers और ऐप्स की प्रकृति

  • Proxy SDK सिर्फ random app developers द्वारा जोड़े गए नहीं लगते
  • Dataset में Bright Data, Bright Data Ltd, और Bright SDK का संबंध 367 proxy-flagged ऐप्स से मिला
  • Honeygain UAB, Oxylabs की subsidiary है, और 16 ऐप्स की publisher के रूप में दिखाई दी
  • कुछ ऐप्स सामान्य ऐप्स में proxy SDK जोड़ने से ज्यादा, SDK चलाने के लिए बनाए गए पतले game, screen saver, या utility shell जैसे लगते हैं
  • ऐसे मामलों में ऐप सिर्फ पैकेजिंग है, असली product user का residential IP बन जाता है

Platform policy में अंतर

  • Amazon अपनी Device and System Abuse Policy में third-party proxy services को मदद देने वाले ऐप्स को साफ तौर पर प्रतिबंधित करता है
  • बताया जाता है कि Roku ने भी Bright SDK जैसी proxy services के उपयोग को रोका है
  • LG और Samsung ने इसके बराबर का कोई सार्वजनिक मानदंड जारी नहीं किया है
  • जिस business model को Amazon ने ban किया और Roku ने block किया बताया जाता है, वही webOS और Tizen पर बड़े पैमाने पर मिला

Local network तक पहुंचने वाला जोखिम

  • TV ऐप proxy बन जाए तो जोखिम सिर्फ public IP उधार देने तक सीमित नहीं रहता
  • ऐप home network के अंदर चलता है, इसलिए अगर proxy provider private/local address requests की अनुमति दे या filtering fail हो जाए, तो यह internal devices तक पहुंच का आधार बिंदु बन सकता है
  • संभावित exposure में router admin panel, NAS, printer, camera, developer machine, और local ports पर सुन रहे दूसरे ऐप्स शामिल हैं
  • जनवरी 2026 के KrebsOnSecurity के Kimwolf मामले में ऐसे botnet का जिक्र है जिसने residential proxy network के जरिए proxy endpoint के पीछे के local network में tunneling की
  • Kimwolf में हमलावरों को सिर्फ public web traffic ही नहीं, बल्कि proxy node वाले उसी LAN के devices तक पहुंचकर आगे फैलते हुए भी देखा गया

SDK samples में दिखी network boundary

  • Bright Data sample में साफ private/local blocklist शामिल है
    • 127.0.0.0/8
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 169.254.0.0/16
    • 192.168.0.0/16
    • 255.255.255.255
  • यह blocklist सकारात्मक संकेत है, लेकिन साथ ही यह भी दिखाती है कि TV ऐसे connections बना सकता है और सीमा SDK की policy code पर निर्भर है
  • Massive sample server से मिले host:port values को parse करता है और net.Socket से connection खोलता है
  • Honeygain/Oxylabs sample messageType: "connect" server message से address.host और address.port लेता है, और फिर chunk messages के जरिए उस connection में bytes लिखता है
  • Local Massive और Honeygain/Oxylabs samples में Bright Data sample जैसी private range blocklist नहीं मिली
  • असली सीमा तकनीकी असंभवता नहीं, बल्कि proxy companies की customer screening, traffic filters, internal rules, और LG/Samsung के platform review से बनी रहती है

जांच का तरीका

  • Store descriptions या permission prompts पर निर्भर रहने के बजाय, शोधकर्ताओं ने वास्तविक LG webOS और Samsung Tizen app packages डाउनलोड करके unzip किए और अंदर की files scan कीं
  • Signatures को verified SDK artifacts के आधार पर बनाया गया
    • Bright Data का brd_api.js, brd_sdk service
    • Massive client और .massivesdk service
    • Honeygain/Oxylabs SDK files और service names
    • संबंधित tokens या package names
  • गिने गए सभी ऐप्स में verified proxy SDK signatures मौजूद थे

Proxy कंपनियों का पक्ष

  • Bright Data का कहना है कि consent ही legal और malicious networks के बीच फर्क करता है, और transparent, compliant sourcing, screening, governance, तथा accountability framework से इसे साबित किया जा सकता है
    • कंपनी का कहना है कि उसे independent auditors और security firms review करते हैं
    • उपयोग सिर्फ legal और verified business, research, तथा journalism उद्देश्यों के लिए approve होता है
  • Massive का कहना है कि वह consumer side पर privacy और security को प्राथमिकता देता है
    • उसने माना कि endpoint को user पर न्यूनतम असर और interface के साथ design किया जाता है, जिससे device owner के लिए verify करना मुश्किल हो सकता है
    • पहले वह resource usage control करने के लिए slider देता था, लेकिन self-induced denial-of-service जैसी स्थिति बनने पर अब इसे simple on/off विकल्प में बदल दिया गया
    • Network users legal business purpose verify करने के लिए KYC process से गुजरते हैं
    • तकनीकी controls मुख्यतः server side पर लागू होते हैं, और कंपनी कहती है कि वह man-in-the-middle style traffic decryption या monitoring नहीं करती
  • Oxylabs का कहना है कि वह infrastructure और SDK level पर कई technical controls के जरिए private/local network ranges तक पहुंच सीमित करता है
    • इनमें filtering, traffic inspection, और local blocklists शामिल हैं
    • कंपनी का कहना है कि SDK updates को distributed Smart TV ऐप्स तक पहुंचने में app store review के कारण समय लग सकता है
    • Honeygain SDK Partnership Program के जरिए वितरित approved apps ही proxy network में शामिल हो सकते हैं
    • कंपनी का कहना है कि उसने third-party penetration testing और security audit कराया है, जिनमें local network access prevention tests भी शामिल थे

Users के लिए जरूरी transparency और control

  • TV ऐप्स को लिविंग रूम के device को चुपचाप residential proxy infrastructure में नहीं बदलना चाहिए
  • अगर कोई ऐप घर के internet connection से कमाई करता है, तो users को इसका मतलब, connection का उपयोग कैसे होगा, और उससे जुड़े risk तथा trade-off साफ तौर पर पता होने चाहिए
  • असली समस्या residential proxy networks का अस्तित्व नहीं, बल्कि उनका बड़े पैमाने पर उन devices में embed होना है जिन्हें consumer computer की तरह पहचानते या inspect नहीं करते
  • TV ऐप के अंदर एक बार दिखा consent prompt meaningful transparency, ongoing control, और platform oversight की जगह नहीं ले सकता
  • जोखिम तब और बढ़ता है जब TV घर में ऐसे लोग भी इस्तेमाल करते हों, जैसे नाबालिग, जिन्हें consent देने का अधिकार नहीं होना चाहिए लेकिन वे दे सकते हैं
  • LG और Samsung residential proxy SDKs पर स्पष्ट policy बना सकते हैं, प्रमुख disclosure और user controls अनिवार्य कर सकते हैं, और consumer devices के जरिए third-party traffic relay करने वाले ऐप्स की कड़ी समीक्षा कर सकते हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 4 시간 전
Hacker News की राय

  • थोड़ा सैद्धांतिक रूप से कहें तो, थोड़ा और खर्च करके ठीक-ठाक DID/कमर्शियल TV खरीदा जा सकता है: https://www.bhphotovideo.com/c/product/1788343-REG/samsung_q...
    मैंने कुछ महीने पहले खरीदा था; 4K है, ब्राइटनेस पर्याप्त है, और रंग भी अच्छे थे
    यह टॉप-एंड नहीं है, लेकिन मैंने Wi‑Fi और चैनल डिस्प्ले तक बंद कर दिया है, और TV के CEC के साथ Apple TV इस्तेमाल करता हूँ, इसलिए Apple TV चालू करते ही TV सीधे Apple इंटरफ़ेस पर चालू हो जाता है, और Apple रिमोट से बंद करने पर TV भी बंद हो जाता है
    मैं इसे लगभग Apple TV के लिए समर्पित डिस्प्ले की तरह इस्तेमाल कर रहा हूँ और संतुष्ट हूँ

    • अगर ऐसा ही करना है, तो प्रीमियम देने के बजाय सब्सिडी वाला smart TV खरीदकर उसे इंटरनेट से न जोड़ना बेहतर नहीं होगा
      HN या Reddit पर यह अस्पष्ट अटकलें हैं कि TV में cellular modem भी होता है, लेकिन अभी तक इसकी पुष्टि नहीं हुई है
    • कुछ TCL TV तब तक काम करने से इनकार करते हैं जब तक उन्हें मुख्य कंपनी के सर्वरों तक पहुँच वाले नेटवर्क से न जोड़ा जाए
      अच्छी बात यह है कि Samsung S95D ऐसा नहीं करता, उसका matte OLED स्क्रीन भी अच्छा है, और नेटवर्क कनेक्शन या smart TV फीचर सेट किए बिना भी अच्छी तरह इस्तेमाल किया जा सकता है
      ज़रूरी ऑपरेशन बस वॉल्यूम और HDMI input बदलना है, और मैं source के रूप में दो AppleTV 4K इस्तेमाल कर रहा हूँ, जिन्हें क्रमशः US Apple ID और UK Apple ID से जोड़ा गया है
      कभी न कभी Oppo UDP-203 4K Blu-Ray player भी जोड़ूँगा, लेकिन नए घर में आए 2 साल हो गए और अभी तक उसकी ज़रूरत नहीं पड़ी
    • TV को बस बेवकूफ स्क्रीन बनाए रखता हूँ, और पीछे Kubuntu Linux चलाने वाला एक laptop जोड़ा हुआ है
      Chrome में सब कुछ stream करता हूँ, और कभी-कभी air mouse और wireless keyboard इस्तेमाल करता हूँ; बहुत बढ़िया काम करता है
    • यह Samsung के The Frame जैसा दिखता है; क्या इसका matte surface है, यह जानना चाहूँगा
      Tizen का कौन-सा version है, और क्या API access संभव है, यह भी जानना चाहूँगा
    • वैसे सोचें तो हैरानी होती है कि Apple ने TV कभी क्यों नहीं निकाला

  • Smart TV को कभी नेटवर्क से नहीं जोड़ना चाहिए, और अगर अपने आप को रोक न सकें, तो उसे firewall वाले, gateway रहित VLAN में डालना चाहिए
    smart फीचर्स की वजह से जो पैसा बचा, उससे कोई पुराना enterprise mini workstation खरीदकर उस पर LibreELEC/Kodi जैसा कुछ चलाइए और उसी डिवाइस को smart डिवाइस की तरह इस्तेमाल कीजिए
    TV को इंटरनेट से जोड़कर कोई भी अच्छी चीज़ नहीं मिलती
    और मेरी राय में किसी को भी पैसे लुटाने वाला subscriber नहीं बनना चाहिए, और subscription भी नहीं लेनी चाहिए

    • कुल मिलाकर सहमत हूँ, लेकिन LibreELEC या अन्य Kodi distribution मुझे खास पसंद नहीं; वे बहुत सीमित लगते हैं
      हाल तक पूरा Linux desktop environment चलाना सबसे अच्छा विकल्प था, लेकिन अब Plasma Bigscreen[0] है, जिसे सोफ़े से remote के साथ इस्तेमाल करने लायक बनाया गया है
      Kodi को app की तरह चलाया जा सकता है, browser में streaming की जा सकती है, या Steam से gaming भी की जा सकती है
      [0] https://plasma-bigscreen.org/
    • समझ नहीं आता कि subscription कभी क्यों नहीं लेना चाहिए
      मानता हूँ कि आजकल subscription महँगी होती जा रही है, लेकिन आप एक service लेकर जो देखना है देख सकते हैं, फिर cancel करके दूसरी service पर जा सकते हैं
      Amazon को कोसने के बहुत कारण हैं, लेकिन कम से कम Prime Video में आप दूसरी services को उसी के अंदर subscribe कर सकते हैं, किसी भी browser में देख सकते हैं, और काम खत्म होने पर सचमुच आसानी से cancel कर सकते हैं
    • ऐसा सुझाव पहले भी सुना है, और आमतौर पर विकल्प के रूप में Apple TV रखा जाता है, लेकिन ऐसा setup इस्तेमाल करके देखा तो दो remotes रखने पड़े, जो अच्छा नहीं लगा
      बेहतर समाधान है TV को root करके उसके spyware और adware को नपुंसक बना देना
    • मेरा TV सिर्फ software update के समय ही इंटरनेट से जुड़ा था, और तब फोन से अस्थायी Wi‑Fi hotspot बनाना सबसे आसान था
    • हर कुछ महीनों में firmware update वगैरह चेक करने के लिए cable से जोड़ता हूँ
      उसके अलावा इसे offline रखने से सहमत हूँ

  • मुझे हमेशा से smart TV से एक सहज घृणा रही है, और हर साल कोई नई ऐसी कृत्रिम डरावनी कहानी देखता हूँ जो समझ से परे होती है, तो यह घृणा और बढ़ती जाती है

    • घर के अंदर हर उस “smart” डिवाइस के लिए यही भावना है जिसे इंटरनेट कनेक्शन चाहिए और जो LAN-only setting या संचालन की अनुमति नहीं देता
      लोग भूल जाते हैं कि TV सस्ते इसलिए हुए हैं क्योंकि smart TV को विज्ञापन और viewing data से भारी सब्सिडी मिलती है
      मैं जान-बूझकर अपने समकक्षों में सबसे low-tech घर बनाए रखता हूँ
    • यह PC monitors तक भी पहुँच रहा है
      LG फिर से आगे बढ़कर “smart gaming monitor” जैसी वही बकवास धकेल रहा है

  • लेख के हिसाब से यह बात ज़ोर देकर कहने लायक है कि यह LG की default app नहीं, बल्कि third-party app है
    सिर्फ शीर्षक देखकर मुझे लगा था कि यह built-in app की समस्या है

    • LG पहले से ही अपना spyware यानी content recognition चला रहा है
    • इससे यह सवाल उठता है कि क्या वही समस्या दूसरी smart TV में भी है जो यही third-party apps इस्तेमाल करती हैं

  • यह जितना सोचा था उससे ज़्यादा नैतिक लग रहा है
    मुझे लगा था कि या तो कोई consent ही नहीं होगा, या proxy के रूप में इस्तेमाल होने वाली असली बात 20-पन्ने की EULA में दबा दी गई होगी

    • इस स्तर पर तो यह काफ़ी reasonable लगता है
      ज़्यादातर users बिना सोचे-समझे accept कर देंगे, लेकिन कम से कम ऐसा काम करने के लिए यह अपेक्षाकृत सीधे तरीके से बताता है और consent लेता है
      अगर TV platform पर इस तरह की अनुमति नहीं है, तो फिर संदेह होता है कि क्या apps वही काम पूरी तरह छिपकर कर रही होंगी और उसके निशान तक मिटाने की कोशिश कर रही होंगी

  • यह दिलचस्प है कि “proxy के रूप में चिह्नित apps वाले सबसे बड़े publishers” की सूची में नंबर 1 Netanya, Israel स्थित Desoline है, और नंबर 2 Israel स्थित Bright Data

    • यह और दिलचस्प इसलिए है क्योंकि यह spyware और iOS hacking tools के लिए काफ़ी मशहूर देश है
      मैं कोई निष्कर्ष नहीं निकाल रहा
    • जिन्हें पता न हो, उनके लिए Bright Data पहले Luminati proxy था
      यह बहुत-सी संदिग्ध चीज़ों के लिए जाना जाता है

  • यह अवैध होना चाहिए

    • समझ नहीं आता कि इसका कौन-सा हिस्सा अवैध होना चाहिए
    • समझ नहीं आता कि ऐसा क्यों होना चाहिए
      अगर किसी बात को धुंधले तौर पर समस्या कहा जा सकता है, तो वह consent स्क्रीन पर “इंटरनेट से सार्वजनिक web data डाउनलोड” जैसी भाषा है, जो वास्तव में क्या हो रहा है और उससे जुड़े जोखिमों को नहीं बताती
      इसके अलावा “AI scraper बुरे हैं” या “पहचान छिपाना” से आगे बढ़कर किसी सिद्धांत-आधारित प्रतिबंध का आधार बनाना मुश्किल लगता है
      Tor relay या VPN भी मूलतः यही काम करते हैं, बस उनके वास्तविक संचालन के बारे में खुलासा अधिक स्पष्ट होता है

  • यह सिर्फ smart TV apps की समस्या नहीं, बल्कि सभी free apps की समस्या है
    किसी न किसी तरह monetization करना ही पड़ता है, और विज्ञापन दिखें तो लोग वह भी पसंद नहीं करते
    अंत में, अगर ऐसे तरीके न हों तो apps के लिए पैसे देने पड़ेंगे

    • पता नहीं यह व्यंग्य है या नहीं, लेकिन यह तो मालूम है कि apps बिना monetization के भी मौजूद हो सकती हैं
      मैं अभी भी Paint.net इस्तेमाल करता हूँ
    • समस्या यह है कि paid apps भी ads दिखाती हैं और फिर भी monetization करती हैं
    • ads से नफ़रत है भी और नहीं भी
      मैं समझता हूँ कि Youtube को revenue बनाना है और कर्मचारियों को salary भी देनी है
      लगभग 10 साल पहले जैसा मॉडल, जहाँ clip शुरू होने पर कभी-कभार 10 सेकंड का एक ad आता था, मैं सह सकता था
      लेकिन अब जब वे नियमित रूप से skip न किए जा सकने वाले दो ads लगातार चलाने लगे हैं, तो उन्होंने हद पार कर दी, और मैं हर डिवाइस पर uBlock या VacuumTube इस्तेमाल करने लगा
    • जहाँ संभव हो, मैं apps के लिए पैसे देता हूँ, लेकिन कुछ मामलों में यह संभव नहीं होता
      और इसके अलावा यह समस्या भी रहती है कि paid apps भी ऐसा काम नहीं करती होंगी, इस पर भरोसा करना पड़ता है

  • पता नहीं 4K content इतना पर्याप्त है कि पुराने Samsung 1080p LCD को बदलना जायज़ लगे
    Craigslist पर अभी भी मुफ्त TV मिल जाते हैं
    Costco में demo mode पर चलने वाले 4K TV प्रभावशाली लगते हैं, लेकिन घर पर World Cup को over-the-air या Fios 1080p में देखें तो वह काफ़ी अच्छा लगता है
    मैं Netflix 4K के लिए अतिरिक्त पैसे नहीं देता, और Fios का ज़्यादातर content भी 4K नहीं है

  • मुझे अपनी 2018 की jailbroken LG OLED बहुत पसंद है, लेकिन यह कड़वा लगता है कि जिन फीचर्स से मुझे सबसे ज़्यादा लगाव है, वे सब वही हैं जिन्हें निर्माता सक्रिय रूप से रोकना चाहता है और जिन तक मेरी पहुँच नहीं होना चाहिए