Bezplatné aplikace na Smart TV žerou až 200 GB dat měsíčně. Vaši televizi zneužívají jako proxy pro trénink AI
Bezpečnostní výzkumníci rozložili kód, který z televizí Samsung a LG dělá skrytý uzel komerční proxy sítě, s měsíčním stropem 200 GB.
Obsah článku
Představte si, že vaše televize v obýváku celou noc přeposílá tisíce webových požadavků, které vypadají, jako by je posílal někdo z vaší domácnosti. Nesleduje, co koukáte. Dělá něco horšího: půjčuje vaši IP adresu a vaše internetové připojení firmě, která přes ně stahuje veřejná webová data pro komerční zákazníky, včetně těch, kteří ta data používají k trénování a provozu systémů umělé inteligence. Přesně takový mechanismus odhalil bezpečnostní tým Include Security v technickém rozboru publikovaném 5. června 2026. A číslo 200 GB měsíčně? Není to odhad ani senzace, je to veřejně čitelná konfigurační hodnota max_bw_monthly_wifi: 200 000 000 000 přímo v kódu SDK.
Co přesně SDK dělá uvnitř vaší televize
Za vším stojí Bright Data SDK, produkt izraelské firmy Bright Data (dříve Luminati Networks). Vývojáři bezplatných her, spořičů obrazovky a drobných utilit ho zabudují do své aplikace výměnou za podíl na příjmech. Místo reklam tak monetizují uživatele tím, že z jejich zařízení udělají výstupní bod proxy sítě.
Mechanismus funguje takto: jakmile aplikaci spustíte, SDK stáhne konfiguraci a naváže trvalé šifrované WebSocket spojení na řídicí server Bright Data. Televize průběžně hlásí telemetrii, tedy stav připojení, typ sítě a dostupné prostředky. Když server vyhodnotí zařízení jako způsobilé, pošle příkaz cmd_tun. Televize pak vykoná HTTP nebo HTTPS požadavek na cizí web a výsledek vrátí zpět. Navenek ten provoz vychází z vaší domácí IP adresy. Z televize se stává takzvaný exit node, koncový bod, přes který zákazníci Bright Data scrapují weby, aniž by vypadali jako roboti z datacentra.
Právě proto je rezidenční IP tak cenná: weby mnohem častěji blokují datacentrové adresy než běžné domácí přípojky. A právě proto je tato infrastruktura atraktivní pro firmy zabývající se umělou inteligencí. Nejde o to, že by vaše televize počítala neuronové sítě. Poskytuje ale přístupovou cestu k veřejným webovým datům, která se pak prodávají pro předtrénování, vyhledávání a průběžné doplňování AI systémů.
Které aplikace a které televize
Jistě doložený případ z rozboru Include Security je aplikace Petflix na platformě Roku, právě na ní výzkumníci ukazují souhlasovou obrazovku i konfigurační hodnotu 200 GB. Bright Data ale na své vlastní homepage veřejně uvádí řadu titulů pro LG webOS, které už přes SDK monetizují: Jellyfish, Christmas Ski, Tic-Tac-Toe, Fireplace, Coral Reef Screensaver nebo Dog TV. U Samsungu firma tvrdí schválení pro obchod Tizen, kompletní veřejný seznam konkrétních aplikací ale chybí.
Dostupnost v českých obchodech Samsung a LG se z otevřených zdrojů nepodařilo jednoznačně potvrdit. Bright Data i výzkumníci ale dokládají distribuci na obou platformách ve velkém, a protože LG i Samsung provozují globální obchody s aplikacemi, přítomnost v českém regionu je reálná možnost.
Důležité rozlišení: Bright Data dodává SDK a provozuje proxy síť. Konkrétní aplikaci a znění souhlasu dodává publisher, tedy vývojář dané hry nebo spořiče. V partnerském manifestu Include Security identifikovala mimo jiné firmy PlayWorks Digital, CloudTV a Longvision.
Souhlas, který souhlas vlastně není
Formálně by měl existovat informovaný souhlas. Oficiální dokumentace Bright Data přikazuje vývojářům zobrazit text, že firma použije „volné prostředky zařízení a IP adresu ke stahování veřejných webových dat“. Uživatel má možnost odmítnout.
Jenže praxe vypadá jinak. Include Security ukazuje, že souhlasová obrazovka používá slovo „occasionally“ (občas). Konfigurace přitom dovoluje 200 GB měsíčně přes Wi-Fi. To není „občas“. To je objem, který na tarifu s FUP nebo sdílené lince pozná každý.
A pak je tu samotné prostředí televize. Čtení právního textu přes dálkový ovladač na obrazovce z gauče je objektivně horší než na mobilu nebo počítači. Podle GDPR musí být souhlas svobodný, konkrétní, informovaný a jednoznačný, udělený jasným pozitivním úkonem v srozumitelném jazyce, s možností ho kdykoli odvolat bez újmy. Samotné kliknutí dálkovým ovladačem problém není, právo nevyžaduje myš. Problém je v tom, co uživatel reálně věděl, když kliknul. Slovo „occasionally“ vedle 200GB stropu je nesoulad, který by evropský regulátor mohl těžko přehlédnout.
Proč některé platformy SDK zakázaly, a Samsung s LG ne
Ne všechny platformy to tolerují:
- Amazon Fire TV – oficiální politika výslovně zakazuje aplikace, které „zprostředkovávají proxy služby třetím stranám“.
- Google TV / Android TV – pravidla vyžadují, aby služby na popředí u neaudioaplikací skončily po opuštění aplikace, což jde přímo proti trvalému relay provozu na pozadí.
- Roku – provozuje přísný certifikační režim a vyhrazuje si právo aplikaci kdykoli stáhnout, i když explicitní zákaz proxy SDK ve veřejných dokumentech chybí.
Samsung a LG zatím veřejně nezareagovaly. Bright Data přitom dál na své stránce prezentuje integrace pro Smart TV a tvrdí schválení pro oba obchody.
Srovnání s jinou kauzou je na místě. Google Threat Intelligence Group loni rozbila síť IPIDEA, která trojanizovanými aplikacemi proměňovala zařízení v proxy uzly, včetně Smart TV. Google výslovně varoval, že uživatelé mohou být kvůli cizímu provozu z jejich IP označeni za podezřelé nebo blokováni. Bright Data se od IPIDEA liší deklarovanou legalitou a existencí souhlasu. Základní síťová funkce je ale totožná: vaše televize posílá cizí požadavky pod vaší IP adresou.
Jak to poznat a jak se bránit
Tři kroky, které zvládne i méně technicky zdatný uživatel:
- Projděte si seznam aplikací – bezplatné hry, spořiče obrazovky, utility. Porovnejte je s tím, co Bright Data uvádí na své homepage jako monetizované přes SDK.
- Hledejte souhlas – po spuštění podezřelé aplikace se může objevit text „Web Indexing by Bright Data“ s žádostí o použití IP adresy. Pokud jste ho odsouhlasili, zkuste v nastavení aplikace najít možnost odhlášení.
- Zkontrolujte síťový provoz – v administraci routeru nebo DNS logu hledejte spojení na domény
proxyjs.brdtnet.com,proxyjs.luminatinet.com,proxyjs.bright-sdk.com,clientsdk.bright-sdk.comaclientsdk.brdtnet.com.
Nejrychlejší obrana je blokace na routeru. V sekci rodičovská kontrola, URL filtr nebo DNS filtr zablokujte výše uvedené domény. Pokud router umí wildcard, přidejte *.brdtnet.com, *.luminatinet.com a *.bright-sdk.com. Include Security potvrzuje, že blokace proxyjs.* přeruší peer tunnel. Dlouhodobě je ale čistší podezřelou aplikaci rovnou odinstalovat, publisher může časem změnit domény, verzi SDK nebo chování aplikace.
Vaše televize není jen obrazovka. Je to síťové zařízení s vlastní IP adresou, trvalým připojením a operačním systémem, který umí spouštět cizí kód. A někdo toho už využívá.