Akıllı TV’niz, Yapay Zeka Veri Toplama Ağının Bir Düğümü Mü?
Günümüz dijital çağında, yapay zeka (YZ) modellerinin gelişimi büyük miktarda veriye dayanıyor. Veri merkezlerine yönelik toplumsal muhalefet artarken, evlerimizdeki cihazların YZ eğitimine dağıtılmış bir şekilde katkıda bulunabileceği gerçeği pek de bilinmiyor olabilir. Bu yazımızda, Bright Data şirketinin konut proxy ağını kullanarak modern YZ modelleri için internetten nasıl eğitim verisi topladığını inceleyeceğiz.
Bright Data, 400 milyondan fazla ev IP adresinden oluşan, kendi ifadesiyle dünyanın en büyük konut proxy ağına erişim satan bir veri toplama şirketidir. Bu ağın arkasındaki tedarik, kullanıcı izniyle telefonları veya akıllı TV’leri bu çıkış düğümlerinden birine dönüştüren tüketici uygulamalarına gömülü bir SDK’dan gelir. Ortalama bir kullanıcı olarak, bu şirketin SDK’sının mobil telefonunuz ve akıllı TV’niz gibi sistemlerinizde ne yaptığını, SDK’nın nasıl çalıştığını, hangi platformların bunu kullandığını ve internete bağlı TV’nizin neden YZ modelleri için nihai bir proxy olduğunu ele alacağız.
Bu Neden Şimdi Önemli?
YZ şirketleri, ön eğitim, bilgi alma, ajan temelini oluşturma ve arama gibi birçok amaçla web’den kazınan içeriğe bağımlıdır. Ancak modern web, bir veri merkezinden kazınamaz. Cloudflare, DataDome ve HUMAN gibi şirketler, bilinen bulut IP’lerinden gelen istekleri kısıtlar veya engeller. Bu durumun çözümü ise konut proxy’leridir. Comcast veya T-Mobile abonesinin bağlantısı üzerinden yönlendirilen bir kazıma işi, hedef siteye ücretli bir konut müşterisine ait bir IP’den ulaşır. Krebs, Ekim 2025’te Aisuru ve diğer kaynaklardan gelen proxy bolluğunun çeşitli YZ projeleriyle bağlantılı büyük ölçekli veri toplama çabalarını beslediğini bildirdi. 2019’a kadar uzanan akademik ölçümler, bu ağların büyük ölçüde kötüye kullanıldığını gösteriyor ve FBI bu yılın başlarında resmi bir uyarı yayınladı.
Mevcut basının çoğu, botnet’ler (Aisuru, Kimwolf), Truva atı içeren uygulamalar (HUMAN Security’nin PROXYLIB duyurusu) ve önceden enfekte IoT donanımları (Google/Mandiant’ın IPIDEA çökertmesi) gibi yasa dışı konut proxy tedarikine odaklanmıştır. Bunlar kötü aktörlerdir. Diğer yandan, yasal tedarik tarafı çok daha az denetlenmiştir. Bugün Bright Data, kendi pazarlamasına göre dünya çapındaki en büyük konut proxy ağıdır ve ortak uygulamalara gömülü bir rıza SDK’sı aracılığıyla ‘150 milyondan fazla IP’ tedarik ettiğini duyurur. Bu araştırma, bu SDK’nın nasıl çalıştığını, hangi platformların bunu kullandığını ve bağlı TV’nin neden nihai konut proxy’si olduğunu belgelemektedir.
Akıllı TV’ler (CTV) Neden İdeal Proxy?
Bağlı TV veya Akıllı TV, neredeyse mükemmel bir konut proxy’sidir. Bir mobil telefonla karşılaştırıldığında, birçok avantajı vardır:
- Güç: Mobil telefonlar günün çoğunda batarya ile çalışırken, Akıllı TV’ler sürekli fişe takılıdır.
- Ağ: Mobil telefonlar WiFi + hücresel kullanırken, Akıllı TV’ler her zaman WiFi’ye ve yüksek hızlı ağa bağlıdır.
- Çalışma Süresi: Mobil telefonlar aralıklı çalışırken, Akıllı TV’ler bekleme modunda 7/24 açıktır.
- Bant Genişliği Sınırı: Mobil telefonlarda düşüktür (hücresel sınırlar), Akıllı TV’lerde ise neredeyse sınırsızdır.
- Kullanıcı Dikkat: Mobil telefonlar aktif olarak kullanılırken, Akıllı TV’ler genellikle denetimsizdir.
- Rıza Kullanıcı Arayüzü: Telefon ekranında metinle sunulurken, Akıllı TV’lerde uzaktan kumanda ok tuşlarıyla gezinilen metinlerdir.
- Kurumsal/Aile Gözetimi: Mobil cihazlarda daha yüksekken (MDM, mobil EDR), Akıllı TV’lerde neredeyse hiç yoktur.
Bir TV asla %1 bataryaya düşmez, WiFi ağları arasında geçiş yapmaz veya kullanıcı uyurken kilitlenmez. Bazı iş ortağı yayıncılar, Bright Data ilişkisini gizlilik politikalarında açıklasa da (örneğin PlayWorks), gizlilik politikası açıklaması bir TV için doğru kontrol yüzeyi değildir. Uzaktan kumandadaki ok tuşlarıyla yasal bir belgeyi kaydırmak zordur ve uygulama içi rıza iletişim kutusu, ücretli bir Bright Data müşterisinin kazıma trafiğini kullanıcının ev interneti üzerinden yönlendireceğini açıkça belirtmez. Petflix, The Verge tarafından belgelenen bir Roku uygulaması, tipik bir örnektir. Onay ekranında ‘Petflix’i daha az reklamla ücretsiz kullanmak için, Bright Data’nın cihazınızın boş kaynaklarını ve IP adresini internetten genel web verilerini indirmek için ara sıra kullanmasına izin veriyorsunuz. Bright Data, IP adresinizi yalnızca onaylanmış iş amaçlı kullanım durumları için kullanacaktır. IP adresiniz dışında hiçbir kişisel bilginize erişilmez veya toplanmaz. Nokta.’ yazar. Petflix iletişim kutusu ‘ara sıra’ derken, SDK’nın herkese açık olarak sorgulanabilir yapılandırması `max_bw_monthly_wifi: 200,000,000,000` bayt – yani varsayılan 200 GB aylık WiFi bütçesi belirler.
Bright Data’nın Ortakları Kimler?
Bright Data, bir ortak manifest uç noktasını ortaya koyar. Bu uç nokta kimlik doğrulaması gerektirmez ve herkes tarafından alınabilir. Manifestte kamu kaynaklarından yüksek güvenle tanımlanabilen isimler şunlardır:
- PlayWorks Digital Ltd: 400’den fazla CTV oyun başlığı; Comcast, Sky, Cox, LG, Samsung, Vizio, Roku aracılığıyla ~250 milyon TV hanesine ulaşır.
- CloudTV: 125’ten fazla TV markası ve 15’ten fazla OEM’e entegre edilmiştir.
- Longvision Media HK (LongTV): Hong Kong ve Malezya’da 5 milyon OTT kullanıcısı.
- Viber Media S.à r.l. (Rakuten): Viber mesajlaşma uygulamasının 250M-820M aylık kullanıcısı.
- Supercent (Kore): 2023’te indirme sayısına göre #1 Koreli mobil yayıncı.
- Moonfrog Labs (Stillfront iştiraki): Yalnızca Teen Patti Gold’da ~10M aylık aktif kullanıcı; 90 milyon dolara satın alındı.
- Hola Networks: Bright Data’nın soy atası; kullanıcı tabanı zirvede on milyonlar ila ~100 milyondan fazla olarak rapor edildi.
Başkaları (`desoline, free_time, ott_studio, global_microtrading, m_m_media, easystaff_lp`) mevcuttur ancak kamu kaynaklarından daha az tanımlanabilir. `bright_screensavers, bright_videos` ve `brightdata` ise Bright Data’nın kendi uygulamalarıdır. Ortak listesinin neyi kanıtladığına dair bir not: Bright Data’nın yapılandırmasında listelenmek, bir entegrasyonun bir zamanlar var olabileceği anlamına gelir. Bu, belirli bir yayıncının şu anda gönderdiği uygulamaların üretimde SDK’yı içerdiğini kendi başına kanıtlamaz. Herhangi bir belirtilen yayıncı için, uygulama başına doğrulama gereklidir. Ortak listesinin doğrudan kanıtladığı şeyler şunlardır: 1. Bright Data, bu listeyi kimlik doğrulaması olmayan herkese açık bir uç noktada gönderir. 2. En az üç CTV odaklı kuruluş (PlayWorks, CloudTV, Longvision), kullanıcılarının cihazlarını konut proxy çıkış düğümleri olarak gelir elde etmek için kullanmıştır. Özellikle PlayWorks, kendi pazarlama materyallerine göre büyük TV platformları ve İSS’ler genelinde CTV dağıtımını ve yüz milyonlarca haneye erişim rakamlarını rapor etmektedir.
Bright Data SDK’sı Cihazınızı Nasıl Bir Konut Proxy Çıkış Düğümüne Dönüştürüyor?
Bright Data SDK’sı, yayıncılara Bright Data’nın SDK entegrasyon belgeleri (web için bir JavaScript varyantı ile) aracılığıyla sunulan, herkese açık olarak belgelenmiş ticari bir üründür. Aşağıdakiler, bu herkese açık yüzeyi, iOS framework’ünün tersine mühendisliği ve 30 günlük çalışma zamanı trafiğinin enstrümantasyonu bulgularıyla genişletmektedir. SDK, ortak uygulamalar içinde bir iOS framework’ü (brdsdk.framework) olarak gönderilir. İkili tersine mühendislik yapıldı ve bir onaylı ortak uygulama içinde SDK çalıştıran bir araştırma filosundan 30 günlük trafik yakalandı.
Kimlik Doğrulaması Olmayan Yapılandırma
Her başlatmada SDK, `GET ‘https://clientsdk.bright-sdk.com/sdk_config_ios.json?appid=
Eş Tüneli
Yapılandırma alımından sonra SDK, `wss://proxyjs.brdtnet.com:443` adresine kalıcı bir WebSocket açar. Bu ana bilgisayar adı AWS Global Accelerator IP’lerine (bu yazının itibarıyla 3.33.193.183, 15.197.193.114) çözümlenir. TLS sertifikası `CN=*.luminatinet.com`’dur – bu, Bright Data’nın 2018 öncesi kurumsal adı olan Luminati Networks’ün alanıdır. Yeniden markalama 2018’de kamuoyuna duyurulmuştur. Aktif SDK altyapısı hala eski sertifika üzerinde çalışmaktadır, bu da yararlı bir tespit pivotudur: mevcut müşteri odaklı proxy hizmeti brightdata.com markalı alan adlarında yaşar, bu nedenle ağınızdaki herhangi bir luminatinet.com / brdtnet.com trafiği özellikle eş tüneli düzlemidir, müşteri tarafı Bright Data kullanımı değildir. Sunucu kendini `uWebSockets: 20` olarak tanımlar.
Eş uç noktası yükseltme için kimlik doğrulaması gerektirmez. Sunucu herhangi bir TLS-geçerli WebSocket yükseltmesini kabul eder ve bağlanan istemciye genel IP’sinin geri yankılandığı bir uygulama katmanı çerçevesini hemen iletir. Oradan bir el sıkışma gelişir:
- Sunucu → istemci: tunnel_init: Oturumu kurar, istemcinin genel IP’sini döndürür.
- Sunucu → istemci: cid_set: Sunucu istemciye `<IP>-<token>/ls<N>c<M>p443_<IP>_<counter>` formatında bir oturum izleme tanımlayıcısı atar. Bu formatın, SDK’nın gerçek cihazlardan yakalanan telemetri trafiğinde bulunan `cid` alanı ile eşleştiği doğrulanmıştır.
- Sunucu → istemci: status_get: Sunucu, cihazı boşta kalma durumu, batarya, ağ tipi ve mevcut bant genişliği için yoklar. Cihaz sürekli bir telemetri akışı ile yanıt verir: `idle, wifi_connected, mobile_connected, mobile_type` (LTE/5G), `roaming, battery_level, using_battery, screen_on, on_call, cpu_usage, mem_usage, raw_bw, bw, ipv6_supported, appid` (ana bilgisayar uygulaması), `sdk_version, platform` ve atanan `cid`. Bu, ana bilgisayar uygulamasının yayıncısı tarafından seçilen bir rıza iletişim kutusu aracılığıyla üçüncü bir tarafa sürekli bir fiziksel cihaz durumu akışıdır.
- El sıkışma tamamlandı. Cihaz uygun durumu bildirdiğinde, sunucunun iş eşleştirme katmanı `cmd_tun` çerçevelerini göndermekte serbesttir: SDK’nın üçüncü taraf sitelere karşı HTTP istekleri olarak yürüttüğü bireysel kazıma iş talimatları, kullanıcının konut IP’sini kaynak olarak kullanarak.
WebSocket üzerindeki her çerçeve, sabit bir zarf içeren düz JSON’dur: `{‘type’: ‘ipc_call’|’ipc_post’|’ipc_result’|’ipc_error’,’cmd’: <command>, ‘cookie’: <correlation-id>,’err_code’: 0, ‘msg’: { …payload… }}`. İkili dosyadan çıkarılan ve bağlantı üzerinde doğrulanan tam komut dağarcığı şöyledir: Sunucu → İstemci (`tunnel_init`, `cid_set`, `status_get`, `cmd_tun`, `dns`, `consent`), İstemci → Sunucu (`status_send`, `tun_report`, `tun_ack`, `tun_fin`, `tunnel_init_decline`, `logs`). Mesaj imzası, HMAC, istemci sertifikası veya cihaz onaylaması yoktur. Yalnızca TLS katmanı ve sunucunun hangi eşlerin aslında iş aldığını sınırlayan IP itibar filtresi mevcuttur. Ticari kötü amaçlı yazılım protokol tasarımına aşina okuyucular için: bu, tipik C2’den önemli ölçüde daha az güvenlidir.
SDK Sizi Ne Zaman ‘Boşta’ Kabul Eder?
Yapılandırma, cihazın başkasının trafiğini iletmeye ne zaman uygun olduğuna dair açık bir kural kitabı içerir: `{‘idle_metrics’:{‘ignore_screen_on’:true, // ekran açıkken bile röle yap’ignore_on_call’:true, // kullanıcı telefon görüşmesindeyken bile röle yap’max_bw_ratio’:1,’min_battery’:0.2,’wifi_on_battery’:true,’min_battery_wifi’:0.2,’max_cpu_usage’:70,’max_mem_usage’:90,’mem_screen_off’:true,’idle_timeout’:30,’not_idle_timeout’:10}}`. `ignore_screen_on` ve `ignore_on_call` bayrakları dikkat çekicidir: ‘boşta’ olmak, kullanıcının cihazdan uzakta olduğu anlamına gelmez. Cihazın CPU, bellek ve pilinin SDK’nın eşikleri içinde olduğu anlamına gelir. Telefon görüşmesinde olan, ekranı aktif olarak okuyan bir kullanıcı, röle amaçları için boşta kabul edilir.
Çapraz Platform Kimlik Bağlantısı
Yapılandırma ayrıca bir `dual_pairing` haritası da içerir: `{‘dual_pairing’: { ‘ios_com.brd.earnapp’: [‘win_earnapp.com’, ‘mac_com.earnapp’]}}`. Bu, bir kullanıcının aynı markanın iOS, Windows ve macOS yüklemelerini tek bir varlığa bağlayan sunucu tarafı bir haritadır. Herkese açık bir yapılandırma dosyasında belgelenmiş çapraz platform kimlik birleştirmesidir. Bir diğer ileriye dönük alan ise `http3_enabled: true`’dur. SDK, QUIC tabanlı eş aktarımı için bayrağı zaten göndermektedir. Gelecekteki bir sürüm, eş tünelini TCP/443’ten UDP/443’e taşıyabilir, bu da WebSocket’i tespit etmek için TCP bağlantı takibine güvenen herhangi bir savunucuyu etkisiz hale getirecektir.
Denetim Bypass’ı
SDK’nın yapılandırması `use_netifs: true` bayrağını içerir. Bu bayrak, SDK ikili kodunda, sistem varsayılan rotasını kullanmak yerine belirli bir gerekli arayüzle (`en0` (WiFi) veya `pdp_ip0` (hücresel)) kendi `NWConnection`’ını oluşturan kodu tetikler. iOS’ta bu, yapılandırılmış herhangi bir VPN’in `tun0` arayüzünü tamamen atlar. Eş tüneli, kullanıcının yapılandırdığı bir VPN’den geçmez, uygulamanın HTTPS trafiğinin geri kalanı geçse bile. Bu ampirik olarak gözlemlenmiştir. Araştırma kurulumu şeffaf TLS önlemesini içerse de, SDK’nın yaptığı her HTTPS çağrısı yakalanırken, `proxyjs.brdtnet.com:443` adresine yapılan eş tünel yakalanmadı, port 443 açıkça denetleyiciye yönlendirilmiş olmasına rağmen. Bypass, Apple’ın belgelenmiş `NWParameters.requiredInterface` API’sini kullanır.
SDK’nın, her bir düzlem için birer tane olmak üzere iki bağımsız denetim bypass’ı kullandığını vurgulamak gerekir: Kontrol düzlemi (yapılandırma alımı, telemetri pingleri): URLSession/NSURLConnection yerine CFNetwork’ün `CFHTTPMessage` temel öğeleri üzerine kurulmuştur. Bu, mobil uygulama güvenlik araçlarında yaygın olarak kullanılan URLSession düzeyindeki enstrümantasyonu (swizzling, ağ uzantıları, URLProtocol alt sınıfları) etkisiz hale getirirken, yine de sistem proxy’sine saygı duyar ve böylece TLS önlemesi yapan araştırmacılar için görünür kalır. Veri düzlemi (eş tüneli): Fiziksel arayüze ayarlanmış `requiredInterface` ile `NWConnection` üzerine kurulmuştur. Bu, VPN’leri etkisiz hale getiren ve kazımanın bir konut IP’sinden yürütülmesini sağlayan şeydir. Her iki seçenek de meşru Apple API’leridir. Bu kombinasyon ilginç bir bulgudur: veri düzlemi VPN tabanlı denetimlere görünmezken, kontrol düzlemi URLSession tabanlı kancalara görünmezdir. Her iki teknikten birine güvenen araştırmacılar, SDK’nın davranışının yalnızca yarısını görürler. MDM çalıştıran kurumsal güvenlik ekipleri, kurumsal VPN tabanlı trafik denetimi veya ev yönlendirici ebeveyn denetimleri için: bu SDK’nın işlettiği en hassas kanal, görünürlük katmanınızın etrafından dolaşmak üzere tasarlanmıştır.
Coğrafi Kademeler
Yapılandırma, ülke başına bant genişliği eşiklerini içerir. Dört ülke açıkça varsayılan olmayan politikalara sahiptir: Özbekistan (%1 pil, günlük 1 GB, aylık 30 GB), Umman (%1 pil, günlük 1 GB, aylık 30 GB), Katar (%20 pil, günlük 40 MB, aylık 250 MB), BAE (%20 pil, günlük 40 MB, aylık 250 MB). Varsayılan (dünya çapında) ise %20 pil, günlük 50 MB ve aylık 500 MB’tır. Yapılandırmaya bakıldığında, Özbekistan ve Umman cihazlarının batarya %1’e kadar düşse bile röle yapmasına izin verilir, günlük limitler varsayılanın 20 katı, aylık limitler ise 60 katıdır. Katar ve BAE cihazları varsayılanın altında kısıtlanır. Kademelerin neden bu şekilde çizildiğine dair sadece spekülasyon yapabiliriz. Bir yorum, şebeke gücünün istikrarlı olduğu yerlerde limitleri gevşetmek ve mobil verinin pahalı olduğu yerlerde kısıtlamak gibi kasıtlı bir pazar segmentasyonudur. Varsayılan dünya çapındaki izin, kullanıcının ev interneti üzerinden ayda 500 MB başkasının trafiğine hala izin vermektedir.
Test Kurulumu ve Metodolojisi
Bu araştırma için üç veri kaynağı kullanıldı:
- Onaylı ortak uygulamalar (Bright SDK’yı içeren XYO COIN dahil) çalıştıran iOS cihazlarından otuz günlük TLS inceleme proxy yakalamaları.
- SDK ikili dosyasının (brdsdk.framework, sürüm 1.532.120, iOS arm64) statik analizi.
Açıklanan tüm özel Bright Data ana bilgisayar adları, sertifika parmak izleri ve TLS altyapısı, aynı istekleri yapan herkes tarafından herkese açık olarak gözlemlenebilir. Ne araştırma filosundan ne de araştırma istemcisinden oturuma özgü tanımlayıcı veriler bu belgede yer almamaktadır.
Zaman Çizelgesi
11 Mayıs 2026 – privacy@brightdata.com adresine bu blog yazısının yayınlanacağına dair e-posta bildirimi gönderildi. Bu makalenin yayınlandığı tarihte bildirimimize herhangi bir yanıt alınmadı.
Savunma Yaklaşımları
Trafik, ağ sınırında belirgin parmak izleri bırakır ve SDK, uygulama ikili dosyasında tanımlanabilir semboller bırakır. Aşağıdaki yaklaşımlar, eş tünelini ağ düzeyinde veya cihazın kendisinde tespit etmenize ve engellemenize olanak tanır. Üç yaklaşım, dağıtım kolaylığına göre sıralanmıştır:
Yaklaşım 1: DNS Engelleme (kolay, ağa yönlendirilen cihazlar için etkili)
- `proxyjs.brdtnet.com`
- `proxyjs.luminatinet.com`
- `proxyjs.bright-sdk.com`
- `clientsdk.bright-sdk.com`
- `clientsdk.brdtnet.com`
`proxyjs.*` adresini engellemek, farklı bir alan adında Bright Data’nın müşteri odaklı proxy hizmetini meşru şekilde kullanan müşterileri etkilemeden eş tünelini öldürür.
Yaklaşım 2: TLS SNI Filtreleme
`server_name`’in `*.brdtnet.com`, `*.luminatinet.com` veya `*.luminati.io` ile eşleştiği TLS el sıkışmalarını bırakın veya uyarın. TLS incelemesi olmadan ağ sınırında çalışır.
Yaklaşım 3: TLS Sertifika Parmak İzi
- `.brdtnet.com` → SHA256 `313ce4ec7d5a51e5…`
- `.luminatinet.com` → SHA256 `5028612e625befea…`
Sectigo sertifika rotasyonuna kadar stabildir (mevcut sertifikalar 2026 ortasına kadar geçerlidir).
use_netifs uyarısı: Her üç katman da yalnızca ağ sınırınızı geçen trafik üzerinde çalışır. SDK’nın `use_netifs` bağlaması, iOS’ta cihaz hücresel bağlantıdayken, eş trafiğinin kurumsal WiFi’yi tamamen atladığı anlamına gelir. Yönetilen filolar için tamamlayıcı kontrol, MDM tabanlı uygulama ikili taramasıdır: yüklü uygulamalarda Swift sembolleri `BrdWebSocketFacade` ve `BrdNetwork.DNSResolver`’ı arayın ve bunları içeren uygulamaları şirket tarafından sağlanan cihazlarda yasaklayın. Belirli bir akıllı TV veya mobil uygulama hakkında endişe duyan ev kullanıcıları için: yukarıdaki ana bilgisayar adlarını yönlendiricinizin DNS ayarlarında (Pi-hole, NextDNS, Cloudflare Gateway, İSS’nizin eşdeğeri) engelleyin.
Bu blog yazısı, konuk yazarımız ve bağımsız güvenlik araştırmacısı Buchodi ile ortaklaşa yazılmıştır.

