Bright Data — это компания, которая продаёт доступ к крупнейшей в мире сети резидентных прокси. Утверждается, что в неё входит более 400 миллионов домашних IP-адресов. Клиенты Bright Data направляют трафик для веб-скрапинга через эти адреса. Источник такой сети — SDK, встраиваемый в потребительские приложения. С согласия пользователя этот SDK превращает телефон или Smart TV в выходной узел.
Это важно сейчас, потому что AI-компаниям нужны данные из интернета для обучения и поиска. Но современный веб не хочет, чтобы его скрапили из дата-центров — Cloudflare и другие блокируют запросы с облачных IP. Решение — резидентные прокси. Трафик от скрапинга приходит на целевой сайт с IP реального домашнего абонента. При этом большинство СМИ писали о нелегальном supply — ботнетах вроде Aisuru. Легальная сторона почти не исследовалась.
Идеальное устройство для такого прокси — Smart TV. Он всегда включён, всегда на Wi-Fi, не имеет ограничений по батарее и им часто никто не пользуется. В отличие от телефона: у TV не сядет батарейка, он не переключается между сетями и не блокируется, когда пользователь спит. Некоторые партнёры раскрывают связь с Bright Data в политиках конфиденциальности, но читать их на TV с пультом — та ещё задача. Яркий пример — приложение Petflix на Roku. В окне согласия сказано, что приложение «изредка» использует устройство для загрузки публичных веб-данных. Но конфиг SDK по умолчанию устанавливает месячный лимит трафика в 200 ГБ.
Как это работает технически. При каждом запуске SDK стягивает неаутентифицированный конфиг. Затем открывает постоянный WebSocket к серверу, который размещён на AWS Global Accelerator. Сертификат — от Luminati Networks (старое имя Bright Data). Рукопожатие не требует аутентификации. После этого сервер присылает команды — инструкции по скрапингу, которые SDK выполняет как HTTP-запросы с IP пользователя. Весь обмен — это обычный JSON без подписи или HMAC.
SDK считает устройство «бездействующим» по чётким правилам. Важный момент: игнорируются включённый экран и телефонный разговор. То есть пользователь может активно смотреть в экран и говорить по телефону — устройство всё равно считается готовым к ретрансляции. Ещё хитрость: SDK строит соединение, явно указывая физический интерфейс (Wi-Fi или сотовую сеть), а не системный маршрут по умолчанию. На iOS это позволяет обойти VPN — трафик не заходит в tun0 и невидим для VPN-инспекции. Для корпоративных MDM и роутерных родительских контролей это означает, что самый чувствительный канал SDK специально спроектирован так, чтобы быть невидимым.
В конфиге есть пострановые лимиты. Например, устройства в Узбекистане и Омане могут ретранслировать при 1% заряда батареи, с дневным лимитом 1 ГБ и месячным 30 ГБ. Для мира по умолчанию — 50 МБ в день и 500 МБ в месяц чужого трафика через домашний интернет пользователя.
Как защититься. Самый простой способ — заблокировать DNS-запросы к доменам proxyjs.brdtnet.com, clientsdk.bright-sdk.com и аналогичным. Это убьёт peer-туннель. Можно также фильтровать TLS SNI или отпечатки сертификатов. Для корпоративных устройств — сканировать установленные приложения на наличие символов BrdWebSocketFacade и запрещать такие приложения через MDM. Для домашних пользователей — заблокировать указанные hostname в Pi-hole или NextDNS.