FB 建議貼文

選取貼文複製成功(包含文章連結)!

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

IP 位址分析機構 Spur Intelligence Labs 近日發布報告指出,在智慧電視(Smart TV)的應用程式中,被大量植入了「住宅代理 SDK」(Residential Proxy SDK),這些軟體會利用用戶的家用網路來中轉他人的網路流量。

Spur Intelligence Labs 在針對 LG 與三星(Samsung)兩大品牌的 6,038 款智慧電視 App 進行調查後發現,其中竟有高達 2,058 款 App 含有此類代理網路 SDK,比例將近三分之一。

偽裝成時鐘或螢幕保護程式,在背景默默「賣流量」

智慧電視本質上也是一種連接網路的電腦,但與智慧型手機或個人電腦(PC)相比,用戶鮮少會去仔細檢查智慧電視的系統設定或網路流量。再加上電視作為播放影片的家電,通常會常年保持開機並連接網路。

報告指出,許多看似簡單無害的 App——例如時鐘、熱帶魚螢幕保護程式、接龍遊戲或幼犬影片等,其背後可能都將用戶的家用 IP 位址當作代理網路的一部分來運作。

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

所謂的代理網路(Proxy)是一種中轉網路流量的機制。而「住宅代理」因為是從一般家庭網路的 IP 位址發出存取,常被用於網頁爬蟲、廣告驗證等需要避開 IP 阻擋的商業行為。

對 App 開發者而言,廣告雖然是重要的收入來源,但如果在時鐘或螢幕保護程式等畫面上塞滿廣告,會嚴重破壞用戶體驗。此時,植入代理網路 SDK 成了另一種變現手段——App 畫面能保持乾淨,卻能在背景悄悄調用智慧電視的網路頻寬來賺錢。

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

是實用 App 還是「代理工具的包裝盒」?

Spur Intelligence Labs 指出,在受調查的 App 中,發現了包括 Bright Data、Massive、Honeygain 以及 Oxylabs 等代理網路公司的 SDK。其中,有 367 款 App 是直接以 Bright Data 相關名義上架,另有 16 款以 Oxylabs 子公司 Honeygain UAB 的名義上架。

調查機構甚至直言,某些 App 與其說是「普通 App 內建了代理 SDK」,倒不如說是「為了運行代理 SDK 而特別製作的空殼 App」。

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

此外,用戶的「知情同意權」也存在很大的灰色地帶。Spur Intelligence Labs 發現,部分 App 的授權同意條款中指出,即使關閉 App 後,代理網路程式仍可能在背景繼續運行。而在三星 Tizen 系統的某些 App 中,還出現了「若接受 Bright Data 服務則可免去廣告;若拒絕則必須觀看廣告」的二選一模式。這意味著,用戶必須在「看廣告」與「出借自家網路頻寬」之間做出抉擇。

內網設備門戶大開?家用網路的潛在資安風暴

當家用網路被當作代理伺服器使用時,問題絕僅僅是「IP 位址被借用」這麼簡單。

智慧電視通常與家中的路由器、NAS(網路儲存裝置)、印表機、防盜監視器以及開發用的電腦連接在同一個區域網路(LAN)中。一旦代理 SDK 或代理業者的控制端出現漏洞,家用電視就可能成為駭客入侵家庭內網其他設備的絕佳跳板。

免費 App 最貴!資安公司發現大量智慧電視免費APP暗藏陷阱,將你的客廳變成網路流量中轉站

Spur Intelligence Labs 說明,在 Bright Data 的程式碼樣本中,確實有包含防止存取區域網路與私有 IP 位址的阻擋清單(Blocklist)。然而,在 Massive、Honeygain 或 Oxylabs 的部分樣本中,卻沒有發現類似的防範機制。這意味著,用戶家庭網路的安全性,完全取決於代理業者的審查、流量控制、內部規範,以及電視 App 商店本身的審查機制。

平台審查機制不同調,消費者該如何自保?

目前各大智慧電視平台對於這類 SDK 的態度並不一致。

亞馬遜(Amazon)已明確禁止支援第三方代理服務的 App 上架,Roku 也封鎖了同類型的 SDK。然而,在 LG 的 webOS 與三星的 Tizen 系統上,目前尚未看到對應的禁止條款,這也是該變現模式在這兩個平台上大規模泛濫的主因。

在報告公開前,Spur Intelligence Labs 已將調查結果提供給 Bright Data、Massive 和 Oxylabs,並獲得了回應:

  • Bright Data 表示,他們有嚴格的同意條款、審查與治理架構,能有效區分合法的網路行為與惡意流量。
  • Massive 強調,為了降低對裝置造成的負荷,他們採用了極簡的介面,且會對代理網路的使用者進行身分驗驗(KYC)並確認其商業目的之合法性。
  • Oxylabs 則說明,不論在基礎設施或 SDK 層面,他們都有限制對私有網路的存取,且定期接受外部的滲透測試與安全性審計。

Spur Intelligence Labs 呼籲,重點不在於住宅代理網路本身是否存在,而是這些 SDK 被大規模植入到大眾不視為「電腦」的智慧電視中。如果 App 欲利用家用網路頻寬變現,就必須向用戶明確說明網路是如何被使用的、有哪些潛在風險,以及用戶究竟同意了什麼。調查機構最後提醒,很多時候「即使 App 被刪除了,代理網路服務也可能還留在系統中」,電視平台官方應提供更透明的機制,協助使用者理解並掌控風險。

 

 

 

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

發表回應
謹慎發言,尊重彼此。按此展開留言規則