สรุปสั้น

นักวิจัยได้ทำ reverse engineering กับ iOS SDK ที่บริษัท Bright Data ฝังไว้ในแอปของผู้บริโภค และเปิดเผยว่ามันเปลี่ยนอุปกรณ์ รวมถึง Smart TV ที่เปิดทิ้งไว้ตลอดเวลา ให้กลายเป็น exit node ที่ส่งต่อทราฟฟิกการขูดข้อมูลเว็บ (web scraping) ให้กับธุรกิจข้อมูลที่ Bright Data ทำตลาดอย่างหนักกับอุตสาหกรรม AI

Bright Data เป็นผู้สืบทอดจาก Luminati และให้บริการเครือข่าย residential proxy ที่อ้างว่าใหญ่ที่สุดในโลก โฆษณาว่ามี IP บ้านมากกว่า 400 ล้านรายการ ส่วนหนึ่งของแหล่งจ่ายมาจาก SDK ตัวนี้ที่ฝังในแอปฟรีหลัง opt-in screen และอธิบายว่าเป็นกลุ่ม IP ที่ได้รับความยินยอมกว่า 150 ล้านรายการ

ประเด็นสำคัญคือทราฟฟิกการขูดข้อมูลถูกส่งออกจาก IP บ้านของผู้ใช้ ไม่ใช่ของลูกค้า Bright Data ความเสี่ยงเฉพาะหน้าจึงไม่ใช่บัญชีถูกแฮ็กหรือข้อมูลถูกขโมย แต่เป็นการที่การเชื่อมต่อและแบนด์วิดท์ของบ้านถูกนำไปใช้เป็นโครงสร้างพื้นฐานขูดข้อมูลของคนอื่น ซึ่ง Smart TV เกือบสมบูรณ์แบบสำหรับงานนี้เพราะเสียบปลั๊กตลอด ต่อเน็ตเร็ว ไม่จำกัดปริมาณ และไม่มีใครเฝ้าดู

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 มิถุนายน พ.ศ. 2569 ว่า งานวิจัยที่เผยแพร่เมื่อวันที่ 5 มิถุนายนโดย Include Security และนักวิจัยอิสระ Buchodi ได้เปิดโปงพฤติกรรมของ SDK ตัวนี้ หลักฐานทางเทคนิคที่ลึกที่สุดมาจาก iOS SDK ส่วนการเข้าถึง Smart TV อ้างอิงจากการรองรับแพลตฟอร์มของ Bright Data รายชื่อพาร์ตเนอร์สาธารณะ และการรายงานก่อนหน้านี้

งานวิจัยพบว่าช่อง peer channel ที่รับส่งงานขูดข้อมูลไม่มีการยืนยันตัวตนที่แท้จริง เมื่อแอปเปิด SDK จะติดต่อเซิร์ฟเวอร์ของ Bright Data ซึ่งส่งคำสั่งกลับมาโดยแทบไม่ตรวจสอบว่าใครเป็นผู้ร้องขอ จากนั้นเซิร์ฟเวอร์สามารถสั่งให้อุปกรณ์ไปดึงหน้าเว็บจากเว็บไซต์อื่นโดยใช้การเชื่อมต่ออินเทอร์เน็ตในบ้านของผู้ใช้ นักวิจัยระบุว่าช่องทางนี้อ่อนแอกว่ากลไกควบคุมที่มัลแวร์ส่วนใหญ่มีเสียอีก

บน iPhone นักวิจัยพบว่าทราฟฟิกนี้เล็ดลอดผ่าน VPN ที่ตั้งค่าไว้ และส่วนใหญ่ของสิ่งที่แอปทำจะไม่ปรากฏในเครื่องมือที่ทีมความปลอดภัยใช้ตรวจสอบแอปตามปกติ อุปกรณ์ยังสามารถส่งต่อทราฟฟิกในเบื้องหลังต่อไปได้แม้ขณะมีคนดูหน้าจอหรือคุยโทรศัพท์ ตราบใดที่แบตเตอรี่ไม่ต่ำ ที่น่ากังวลคือ opt-in screen ไม่ตรงกับสิ่งที่ SDK อนุญาตจริง เช่นในแอป Petflix บน Roku หน้าจอบอกว่าจะใช้การเชื่อมต่อ “เป็นครั้งคราว” แต่ค่าที่ SDK โหลดกลับอนุญาตทราฟฟิกได้สูงถึง 200 GB ต่อเดือน

วิธีการโจมตี

โมเดลนี้ไม่ใช่ของใหม่ในรูปแบบ เพียงแต่ใหญ่ขึ้นในเชิงสเกล Bright Data สืบทอดมาจาก Luminati บริการ proxy แบบจ่ายเงินที่เติบโตมาจาก Hola VPN ซึ่งในปี 2015 Hola ถูกจับได้ว่าขายแบนด์วิดท์ของผู้ใช้ฟรีเป็น exit node ผ่าน Luminati ในราคา 20 ดอลลาร์ต่อกิกะไบต์ ตอนนี้โมเดลเดียวกันรันอยู่บนกล่องที่เปิดตลอดเวลาในห้องนั่งเล่น สิ่งที่เปลี่ยนไปคือผู้ซื้อ เพราะระบบป้องกันบอทจาก Cloudflare, DataDome และอื่นๆ บล็อก scraper ที่มาจาก IP ของ datacenter ทำให้ scraper ของ AI หันมาวิ่งผ่าน residential connection แทน Bright Data เผยแพร่รายชื่อแอปพาร์ตเนอร์บนหน้าเว็บสาธารณะ ซึ่งรวมผู้ผลิตแอป Smart TV อย่าง PlayWorks Digital, CloudTV และ Longvision แม้นักวิจัยจะระบุว่าการอยู่ในรายชื่อเพียงแสดงว่าบริษัทเคยร่วมงานกับ Bright Data ไม่ได้แปลว่าแอปยังมี SDK อยู่ในปัจจุบัน ทั้งนี้ Google, Amazon และ Roku ได้จำกัด background proxy SDK ไปแล้ว และ Bright Data ก็ถอนตัวจากแพลตฟอร์มเหล่านั้น แต่ยังคงระบุ Tizen ของ Samsung และ webOS ของ LG อยู่

ผลกระทบต่อไทย

Smart TV และกล่องสตรีมมิงเป็นอุปกรณ์ที่แพร่หลายมากในครัวเรือนไทย และผู้ใช้จำนวนมากนิยมติดตั้งแอปฟรีเพื่อดูหนัง ฟังเพลง หรือเล่นเกมโดยไม่ทันสังเกต opt-in screen ที่เขียนกำกวม อุปกรณ์เหล่านี้เปิดทิ้งไว้ตลอดและต่อกับเครือข่ายบ้านโดยไม่มีการตรวจสอบความปลอดภัย ทำให้เหมาะกับการถูกใช้เป็น exit node การที่ IP บ้านของผู้ใช้ไทยถูกนำไปใช้ขูดข้อมูลเว็บอาจทำให้ IP ติด blacklist กระทบการใช้งานบริการออนไลน์ปกติ และในกรณีเลวร้ายอาจเชื่อมโยงผู้ใช้เข้ากับกิจกรรมที่ผิดกฎหมายโดยไม่รู้ตัว นอกจากนี้การที่ทราฟฟิกหลบ VPN บน iOS ได้ยังเป็นความเสี่ยงต่อองค์กรที่บริหารจัดการมือถือพนักงาน

คำแนะนำ

ทราฟฟิกของ SDK ตัวนี้ตรวจจับและบล็อกได้ง่าย วิธีที่ตรงที่สุดบนเครือข่ายบ้านคือบล็อกโดเมนที่ SDK ใช้เชื่อมต่อด้วยเครื่องมือระดับเราเตอร์อย่าง Pi-hole หรือ NextDNS โดยโดเมนหลักได้แก่ proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com และ clientsdk.brdtnet.com ตามงานวิจัยระบุว่าการบล็อกเหล่านี้จะหยุดไม่ให้อุปกรณ์ทำหน้าที่เป็น relay โดยไม่กระทบบริการแบบจ่ายเงินของ Bright Data ที่รันบน address แยกต่างหาก ระมัดระวังการติดตั้งแอปฟรีจากแหล่งที่ไม่ชัดเจนบน Smart TV และอ่าน opt-in screen ให้ละเอียด สำหรับองค์กรที่บริหารมือถือพนักงานควรสแกนหาแอปที่มี SDK ตัวนี้ โดยพึงระวังว่าบนการเชื่อมต่อมือถือ ทราฟฟิกจะเลี่ยง Wi-Fi ออฟฟิศ การบล็อกที่ระดับเครือข่ายเพียงอย่างเดียวจึงไม่ครอบคลุมเสมอไป

แหล่งอ้างอิง