Yapay zeka modelleri için veri toplayan konut proxy ağına dönüşen akıllı TV'nin dijital gösterimi.

Akıllı TV’niz, Yapay Zeka Veri Toplama Ağının Bir Düğümü Mü?

Akıllı TV’niz, Yapay Zeka Veri Toplama Ağının Bir Düğümü Mü?

Günümüz dijital çağında, yapay zeka (YZ) modellerinin gelişimi büyük miktarda veriye dayanıyor. Veri merkezlerine yönelik toplumsal muhalefet artarken, evlerimizdeki cihazların YZ eğitimine dağıtılmış bir şekilde katkıda bulunabileceği gerçeği pek de bilinmiyor olabilir. Bu yazımızda, Bright Data şirketinin konut proxy ağını kullanarak modern YZ modelleri için internetten nasıl eğitim verisi topladığını inceleyeceğiz.

Bright Data, 400 milyondan fazla ev IP adresinden oluşan, kendi ifadesiyle dünyanın en büyük konut proxy ağına erişim satan bir veri toplama şirketidir. Bu ağın arkasındaki tedarik, kullanıcı izniyle telefonları veya akıllı TV’leri bu çıkış düğümlerinden birine dönüştüren tüketici uygulamalarına gömülü bir SDK’dan gelir. Ortalama bir kullanıcı olarak, bu şirketin SDK’sının mobil telefonunuz ve akıllı TV’niz gibi sistemlerinizde ne yaptığını, SDK’nın nasıl çalıştığını, hangi platformların bunu kullandığını ve internete bağlı TV’nizin neden YZ modelleri için nihai bir proxy olduğunu ele alacağız.

Bu Neden Şimdi Önemli?

YZ şirketleri, ön eğitim, bilgi alma, ajan temelini oluşturma ve arama gibi birçok amaçla web’den kazınan içeriğe bağımlıdır. Ancak modern web, bir veri merkezinden kazınamaz. Cloudflare, DataDome ve HUMAN gibi şirketler, bilinen bulut IP’lerinden gelen istekleri kısıtlar veya engeller. Bu durumun çözümü ise konut proxy’leridir. Comcast veya T-Mobile abonesinin bağlantısı üzerinden yönlendirilen bir kazıma işi, hedef siteye ücretli bir konut müşterisine ait bir IP’den ulaşır. Krebs, Ekim 2025’te Aisuru ve diğer kaynaklardan gelen proxy bolluğunun çeşitli YZ projeleriyle bağlantılı büyük ölçekli veri toplama çabalarını beslediğini bildirdi. 2019’a kadar uzanan akademik ölçümler, bu ağların büyük ölçüde kötüye kullanıldığını gösteriyor ve FBI bu yılın başlarında resmi bir uyarı yayınladı.

Mevcut basının çoğu, botnet’ler (Aisuru, Kimwolf), Truva atı içeren uygulamalar (HUMAN Security’nin PROXYLIB duyurusu) ve önceden enfekte IoT donanımları (Google/Mandiant’ın IPIDEA çökertmesi) gibi yasa dışı konut proxy tedarikine odaklanmıştır. Bunlar kötü aktörlerdir. Diğer yandan, yasal tedarik tarafı çok daha az denetlenmiştir. Bugün Bright Data, kendi pazarlamasına göre dünya çapındaki en büyük konut proxy ağıdır ve ortak uygulamalara gömülü bir rıza SDK’sı aracılığıyla ‘150 milyondan fazla IP’ tedarik ettiğini duyurur. Bu araştırma, bu SDK’nın nasıl çalıştığını, hangi platformların bunu kullandığını ve bağlı TV’nin neden nihai konut proxy’si olduğunu belgelemektedir.

Akıllı TV’ler (CTV) Neden İdeal Proxy?

Bağlı TV veya Akıllı TV, neredeyse mükemmel bir konut proxy’sidir. Bir mobil telefonla karşılaştırıldığında, birçok avantajı vardır:

  • Güç: Mobil telefonlar günün çoğunda batarya ile çalışırken, Akıllı TV’ler sürekli fişe takılıdır.
  • Ağ: Mobil telefonlar WiFi + hücresel kullanırken, Akıllı TV’ler her zaman WiFi’ye ve yüksek hızlı ağa bağlıdır.
  • Çalışma Süresi: Mobil telefonlar aralıklı çalışırken, Akıllı TV’ler bekleme modunda 7/24 açıktır.
  • Bant Genişliği Sınırı: Mobil telefonlarda düşüktür (hücresel sınırlar), Akıllı TV’lerde ise neredeyse sınırsızdır.
  • Kullanıcı Dikkat: Mobil telefonlar aktif olarak kullanılırken, Akıllı TV’ler genellikle denetimsizdir.
  • Rıza Kullanıcı Arayüzü: Telefon ekranında metinle sunulurken, Akıllı TV’lerde uzaktan kumanda ok tuşlarıyla gezinilen metinlerdir.
  • Kurumsal/Aile Gözetimi: Mobil cihazlarda daha yüksekken (MDM, mobil EDR), Akıllı TV’lerde neredeyse hiç yoktur.

Bir TV asla %1 bataryaya düşmez, WiFi ağları arasında geçiş yapmaz veya kullanıcı uyurken kilitlenmez. Bazı iş ortağı yayıncılar, Bright Data ilişkisini gizlilik politikalarında açıklasa da (örneğin PlayWorks), gizlilik politikası açıklaması bir TV için doğru kontrol yüzeyi değildir. Uzaktan kumandadaki ok tuşlarıyla yasal bir belgeyi kaydırmak zordur ve uygulama içi rıza iletişim kutusu, ücretli bir Bright Data müşterisinin kazıma trafiğini kullanıcının ev interneti üzerinden yönlendireceğini açıkça belirtmez. Petflix, The Verge tarafından belgelenen bir Roku uygulaması, tipik bir örnektir. Onay ekranında ‘Petflix’i daha az reklamla ücretsiz kullanmak için, Bright Data’nın cihazınızın boş kaynaklarını ve IP adresini internetten genel web verilerini indirmek için ara sıra kullanmasına izin veriyorsunuz. Bright Data, IP adresinizi yalnızca onaylanmış iş amaçlı kullanım durumları için kullanacaktır. IP adresiniz dışında hiçbir kişisel bilginize erişilmez veya toplanmaz. Nokta.’ yazar. Petflix iletişim kutusu ‘ara sıra’ derken, SDK’nın herkese açık olarak sorgulanabilir yapılandırması `max_bw_monthly_wifi: 200,000,000,000` bayt – yani varsayılan 200 GB aylık WiFi bütçesi belirler.

Bright Data’nın Ortakları Kimler?

Bright Data, bir ortak manifest uç noktasını ortaya koyar. Bu uç nokta kimlik doğrulaması gerektirmez ve herkes tarafından alınabilir. Manifestte kamu kaynaklarından yüksek güvenle tanımlanabilen isimler şunlardır:

Başkaları (`desoline, free_time, ott_studio, global_microtrading, m_m_media, easystaff_lp`) mevcuttur ancak kamu kaynaklarından daha az tanımlanabilir. `bright_screensavers, bright_videos` ve `brightdata` ise Bright Data’nın kendi uygulamalarıdır. Ortak listesinin neyi kanıtladığına dair bir not: Bright Data’nın yapılandırmasında listelenmek, bir entegrasyonun bir zamanlar var olabileceği anlamına gelir. Bu, belirli bir yayıncının şu anda gönderdiği uygulamaların üretimde SDK’yı içerdiğini kendi başına kanıtlamaz. Herhangi bir belirtilen yayıncı için, uygulama başına doğrulama gereklidir. Ortak listesinin doğrudan kanıtladığı şeyler şunlardır: 1. Bright Data, bu listeyi kimlik doğrulaması olmayan herkese açık bir uç noktada gönderir. 2. En az üç CTV odaklı kuruluş (PlayWorks, CloudTV, Longvision), kullanıcılarının cihazlarını konut proxy çıkış düğümleri olarak gelir elde etmek için kullanmıştır. Özellikle PlayWorks, kendi pazarlama materyallerine göre büyük TV platformları ve İSS’ler genelinde CTV dağıtımını ve yüz milyonlarca haneye erişim rakamlarını rapor etmektedir.

Bright Data SDK’sı Cihazınızı Nasıl Bir Konut Proxy Çıkış Düğümüne Dönüştürüyor?

Bright Data SDK’sı, yayıncılara Bright Data’nın SDK entegrasyon belgeleri (web için bir JavaScript varyantı ile) aracılığıyla sunulan, herkese açık olarak belgelenmiş ticari bir üründür. Aşağıdakiler, bu herkese açık yüzeyi, iOS framework’ünün tersine mühendisliği ve 30 günlük çalışma zamanı trafiğinin enstrümantasyonu bulgularıyla genişletmektedir. SDK, ortak uygulamalar içinde bir iOS framework’ü (brdsdk.framework) olarak gönderilir. İkili tersine mühendislik yapıldı ve bir onaylı ortak uygulama içinde SDK çalıştıran bir araştırma filosundan 30 günlük trafik yakalandı.

Kimlik Doğrulaması Olmayan Yapılandırma

Her başlatmada SDK, `GET ‘https://clientsdk.bright-sdk.com/sdk_config_ios.json?appid=&ver=&uuid=sdk-ios-<32hex>‘` adresine çağrı yapar. Uç nokta hiçbir anlamlı kimlik doğrulaması gerektirmez. Sunucu yalnızca iki sorgu parametresine (`appid` – ortak uygulamanın App Store listesinde bulunabilen bir uygulama paket kimliği – ve `ver` – SDK sürüm dizesi) bakar. Bunları ve rastgele oluşturulmuş herhangi bir UUID’yi sağladığınızda, sunucu gerçek bir cihazın aldığı yanıtı döndürür: özellik bayrakları, boşta kalma algılama eşikleri (batarya %, CPU/bellek tavanları, WiFi’ye karşı hücresel kurallar), ülke başına bant genişliği kademeleri ve yukarıda sergilenen ortak manifesti. Bu dalların her biri kendi başına incelenmeye değerdir: cihazınızın geçiş yapmaya uygun olup olmadığına karar veren boşta kalma kuralları, eş trafiğini VPN’inizin etrafından yönlendiren bir bayrak, yüklemelerinizi platformlar arasında tek bir kimliğe bağlayan bir harita ve ülke başına bant genişliği limitleri.

Eş Tüneli

Yapılandırma alımından sonra SDK, `wss://proxyjs.brdtnet.com:443` adresine kalıcı bir WebSocket açar. Bu ana bilgisayar adı AWS Global Accelerator IP’lerine (bu yazının itibarıyla 3.33.193.183, 15.197.193.114) çözümlenir. TLS sertifikası `CN=*.luminatinet.com`’dur – bu, Bright Data’nın 2018 öncesi kurumsal adı olan Luminati Networks’ün alanıdır. Yeniden markalama 2018’de kamuoyuna duyurulmuştur. Aktif SDK altyapısı hala eski sertifika üzerinde çalışmaktadır, bu da yararlı bir tespit pivotudur: mevcut müşteri odaklı proxy hizmeti brightdata.com markalı alan adlarında yaşar, bu nedenle ağınızdaki herhangi bir luminatinet.com / brdtnet.com trafiği özellikle eş tüneli düzlemidir, müşteri tarafı Bright Data kullanımı değildir. Sunucu kendini `uWebSockets: 20` olarak tanımlar.

Eş uç noktası yükseltme için kimlik doğrulaması gerektirmez. Sunucu herhangi bir TLS-geçerli WebSocket yükseltmesini kabul eder ve bağlanan istemciye genel IP’sinin geri yankılandığı bir uygulama katmanı çerçevesini hemen iletir. Oradan bir el sıkışma gelişir:

  • Sunucu → istemci: tunnel_init: Oturumu kurar, istemcinin genel IP’sini döndürür.
  • Sunucu → istemci: cid_set: Sunucu istemciye `<IP>-<token>/ls<N>c<M>p443_<IP>_<counter>` formatında bir oturum izleme tanımlayıcısı atar. Bu formatın, SDK’nın gerçek cihazlardan yakalanan telemetri trafiğinde bulunan `cid` alanı ile eşleştiği doğrulanmıştır.
  • Sunucu → istemci: status_get: Sunucu, cihazı boşta kalma durumu, batarya, ağ tipi ve mevcut bant genişliği için yoklar. Cihaz sürekli bir telemetri akışı ile yanıt verir: `idle, wifi_connected, mobile_connected, mobile_type` (LTE/5G), `roaming, battery_level, using_battery, screen_on, on_call, cpu_usage, mem_usage, raw_bw, bw, ipv6_supported, appid` (ana bilgisayar uygulaması), `sdk_version, platform` ve atanan `cid`. Bu, ana bilgisayar uygulamasının yayıncısı tarafından seçilen bir rıza iletişim kutusu aracılığıyla üçüncü bir tarafa sürekli bir fiziksel cihaz durumu akışıdır.
  • El sıkışma tamamlandı. Cihaz uygun durumu bildirdiğinde, sunucunun iş eşleştirme katmanı `cmd_tun` çerçevelerini göndermekte serbesttir: SDK’nın üçüncü taraf sitelere karşı HTTP istekleri olarak yürüttüğü bireysel kazıma iş talimatları, kullanıcının konut IP’sini kaynak olarak kullanarak.

WebSocket üzerindeki her çerçeve, sabit bir zarf içeren düz JSON’dur: `{‘type’: ‘ipc_call’|’ipc_post’|’ipc_result’|’ipc_error’,’cmd’: <command>, ‘cookie’: <correlation-id>,’err_code’: 0, ‘msg’: { …payload… }}`. İkili dosyadan çıkarılan ve bağlantı üzerinde doğrulanan tam komut dağarcığı şöyledir: Sunucu → İstemci (`tunnel_init`, `cid_set`, `status_get`, `cmd_tun`, `dns`, `consent`), İstemci → Sunucu (`status_send`, `tun_report`, `tun_ack`, `tun_fin`, `tunnel_init_decline`, `logs`). Mesaj imzası, HMAC, istemci sertifikası veya cihaz onaylaması yoktur. Yalnızca TLS katmanı ve sunucunun hangi eşlerin aslında iş aldığını sınırlayan IP itibar filtresi mevcuttur. Ticari kötü amaçlı yazılım protokol tasarımına aşina okuyucular için: bu, tipik C2’den önemli ölçüde daha az güvenlidir.

SDK Sizi Ne Zaman ‘Boşta’ Kabul Eder?

Yapılandırma, cihazın başkasının trafiğini iletmeye ne zaman uygun olduğuna dair açık bir kural kitabı içerir: `{‘idle_metrics’:{‘ignore_screen_on’:true, // ekran açıkken bile röle yap’ignore_on_call’:true, // kullanıcı telefon görüşmesindeyken bile röle yap’max_bw_ratio’:1,’min_battery’:0.2,’wifi_on_battery’:true,’min_battery_wifi’:0.2,’max_cpu_usage’:70,’max_mem_usage’:90,’mem_screen_off’:true,’idle_timeout’:30,’not_idle_timeout’:10}}`. `ignore_screen_on` ve `ignore_on_call` bayrakları dikkat çekicidir: ‘boşta’ olmak, kullanıcının cihazdan uzakta olduğu anlamına gelmez. Cihazın CPU, bellek ve pilinin SDK’nın eşikleri içinde olduğu anlamına gelir. Telefon görüşmesinde olan, ekranı aktif olarak okuyan bir kullanıcı, röle amaçları için boşta kabul edilir.

Çapraz Platform Kimlik Bağlantısı

Yapılandırma ayrıca bir `dual_pairing` haritası da içerir: `{‘dual_pairing’: { ‘ios_com.brd.earnapp’: [‘win_earnapp.com’, ‘mac_com.earnapp’]}}`. Bu, bir kullanıcının aynı markanın iOS, Windows ve macOS yüklemelerini tek bir varlığa bağlayan sunucu tarafı bir haritadır. Herkese açık bir yapılandırma dosyasında belgelenmiş çapraz platform kimlik birleştirmesidir. Bir diğer ileriye dönük alan ise `http3_enabled: true`’dur. SDK, QUIC tabanlı eş aktarımı için bayrağı zaten göndermektedir. Gelecekteki bir sürüm, eş tünelini TCP/443’ten UDP/443’e taşıyabilir, bu da WebSocket’i tespit etmek için TCP bağlantı takibine güvenen herhangi bir savunucuyu etkisiz hale getirecektir.

Denetim Bypass’ı

SDK’nın yapılandırması `use_netifs: true` bayrağını içerir. Bu bayrak, SDK ikili kodunda, sistem varsayılan rotasını kullanmak yerine belirli bir gerekli arayüzle (`en0` (WiFi) veya `pdp_ip0` (hücresel)) kendi `NWConnection`’ını oluşturan kodu tetikler. iOS’ta bu, yapılandırılmış herhangi bir VPN’in `tun0` arayüzünü tamamen atlar. Eş tüneli, kullanıcının yapılandırdığı bir VPN’den geçmez, uygulamanın HTTPS trafiğinin geri kalanı geçse bile. Bu ampirik olarak gözlemlenmiştir. Araştırma kurulumu şeffaf TLS önlemesini içerse de, SDK’nın yaptığı her HTTPS çağrısı yakalanırken, `proxyjs.brdtnet.com:443` adresine yapılan eş tünel yakalanmadı, port 443 açıkça denetleyiciye yönlendirilmiş olmasına rağmen. Bypass, Apple’ın belgelenmiş `NWParameters.requiredInterface` API’sini kullanır.

SDK’nın, her bir düzlem için birer tane olmak üzere iki bağımsız denetim bypass’ı kullandığını vurgulamak gerekir: Kontrol düzlemi (yapılandırma alımı, telemetri pingleri): URLSession/NSURLConnection yerine CFNetwork’ün `CFHTTPMessage` temel öğeleri üzerine kurulmuştur. Bu, mobil uygulama güvenlik araçlarında yaygın olarak kullanılan URLSession düzeyindeki enstrümantasyonu (swizzling, ağ uzantıları, URLProtocol alt sınıfları) etkisiz hale getirirken, yine de sistem proxy’sine saygı duyar ve böylece TLS önlemesi yapan araştırmacılar için görünür kalır. Veri düzlemi (eş tüneli): Fiziksel arayüze ayarlanmış `requiredInterface` ile `NWConnection` üzerine kurulmuştur. Bu, VPN’leri etkisiz hale getiren ve kazımanın bir konut IP’sinden yürütülmesini sağlayan şeydir. Her iki seçenek de meşru Apple API’leridir. Bu kombinasyon ilginç bir bulgudur: veri düzlemi VPN tabanlı denetimlere görünmezken, kontrol düzlemi URLSession tabanlı kancalara görünmezdir. Her iki teknikten birine güvenen araştırmacılar, SDK’nın davranışının yalnızca yarısını görürler. MDM çalıştıran kurumsal güvenlik ekipleri, kurumsal VPN tabanlı trafik denetimi veya ev yönlendirici ebeveyn denetimleri için: bu SDK’nın işlettiği en hassas kanal, görünürlük katmanınızın etrafından dolaşmak üzere tasarlanmıştır.

Coğrafi Kademeler

Yapılandırma, ülke başına bant genişliği eşiklerini içerir. Dört ülke açıkça varsayılan olmayan politikalara sahiptir: Özbekistan (%1 pil, günlük 1 GB, aylık 30 GB), Umman (%1 pil, günlük 1 GB, aylık 30 GB), Katar (%20 pil, günlük 40 MB, aylık 250 MB), BAE (%20 pil, günlük 40 MB, aylık 250 MB). Varsayılan (dünya çapında) ise %20 pil, günlük 50 MB ve aylık 500 MB’tır. Yapılandırmaya bakıldığında, Özbekistan ve Umman cihazlarının batarya %1’e kadar düşse bile röle yapmasına izin verilir, günlük limitler varsayılanın 20 katı, aylık limitler ise 60 katıdır. Katar ve BAE cihazları varsayılanın altında kısıtlanır. Kademelerin neden bu şekilde çizildiğine dair sadece spekülasyon yapabiliriz. Bir yorum, şebeke gücünün istikrarlı olduğu yerlerde limitleri gevşetmek ve mobil verinin pahalı olduğu yerlerde kısıtlamak gibi kasıtlı bir pazar segmentasyonudur. Varsayılan dünya çapındaki izin, kullanıcının ev interneti üzerinden ayda 500 MB başkasının trafiğine hala izin vermektedir.

Test Kurulumu ve Metodolojisi

Bu araştırma için üç veri kaynağı kullanıldı:

  • Onaylı ortak uygulamalar (Bright SDK’yı içeren XYO COIN dahil) çalıştıran iOS cihazlarından otuz günlük TLS inceleme proxy yakalamaları.
  • SDK ikili dosyasının (brdsdk.framework, sürüm 1.532.120, iOS arm64) statik analizi.

Açıklanan tüm özel Bright Data ana bilgisayar adları, sertifika parmak izleri ve TLS altyapısı, aynı istekleri yapan herkes tarafından herkese açık olarak gözlemlenebilir. Ne araştırma filosundan ne de araştırma istemcisinden oturuma özgü tanımlayıcı veriler bu belgede yer almamaktadır.

Zaman Çizelgesi

11 Mayıs 2026 – privacy@brightdata.com adresine bu blog yazısının yayınlanacağına dair e-posta bildirimi gönderildi. Bu makalenin yayınlandığı tarihte bildirimimize herhangi bir yanıt alınmadı.

Savunma Yaklaşımları

Trafik, ağ sınırında belirgin parmak izleri bırakır ve SDK, uygulama ikili dosyasında tanımlanabilir semboller bırakır. Aşağıdaki yaklaşımlar, eş tünelini ağ düzeyinde veya cihazın kendisinde tespit etmenize ve engellemenize olanak tanır. Üç yaklaşım, dağıtım kolaylığına göre sıralanmıştır:

Yaklaşım 1: DNS Engelleme (kolay, ağa yönlendirilen cihazlar için etkili)

  • `proxyjs.brdtnet.com`
  • `proxyjs.luminatinet.com`
  • `proxyjs.bright-sdk.com`
  • `clientsdk.bright-sdk.com`
  • `clientsdk.brdtnet.com`

`proxyjs.*` adresini engellemek, farklı bir alan adında Bright Data’nın müşteri odaklı proxy hizmetini meşru şekilde kullanan müşterileri etkilemeden eş tünelini öldürür.

Yaklaşım 2: TLS SNI Filtreleme

`server_name`’in `*.brdtnet.com`, `*.luminatinet.com` veya `*.luminati.io` ile eşleştiği TLS el sıkışmalarını bırakın veya uyarın. TLS incelemesi olmadan ağ sınırında çalışır.

Yaklaşım 3: TLS Sertifika Parmak İzi

  • `.brdtnet.com` → SHA256 `313ce4ec7d5a51e5…`
  • `.luminatinet.com` → SHA256 `5028612e625befea…`

Sectigo sertifika rotasyonuna kadar stabildir (mevcut sertifikalar 2026 ortasına kadar geçerlidir).

use_netifs uyarısı: Her üç katman da yalnızca ağ sınırınızı geçen trafik üzerinde çalışır. SDK’nın `use_netifs` bağlaması, iOS’ta cihaz hücresel bağlantıdayken, eş trafiğinin kurumsal WiFi’yi tamamen atladığı anlamına gelir. Yönetilen filolar için tamamlayıcı kontrol, MDM tabanlı uygulama ikili taramasıdır: yüklü uygulamalarda Swift sembolleri `BrdWebSocketFacade` ve `BrdNetwork.DNSResolver`’ı arayın ve bunları içeren uygulamaları şirket tarafından sağlanan cihazlarda yasaklayın. Belirli bir akıllı TV veya mobil uygulama hakkında endişe duyan ev kullanıcıları için: yukarıdaki ana bilgisayar adlarını yönlendiricinizin DNS ayarlarında (Pi-hole, NextDNS, Cloudflare Gateway, İSS’nizin eşdeğeri) engelleyin.

Bu blog yazısı, konuk yazarımız ve bağımsız güvenlik araştırmacısı Buchodi ile ortaklaşa yazılmıştır.

Comments

No comments yet. Why don’t you start the discussion?

    Bir yanıt yazın

    E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir