Apps gratuitos em Smart TVs Samsung, LG e Roku transformam dispositivos em proxies de IA sem aviso ao usuário

A Bright Data não está apenas coletando dados: está transformando TVs de sala em nós de proxy residencial sem aviso, consentimento válido ou transparência técnica. O SDK integrado em apps gratuitos de PlayWorks Digital, CloudTV e Viber opera em segundo plano com ignore_screen_on:true, ou seja, retransmite tráfego mesmo com a tela apagada, CPU abaixo de 70% e memória sob 90%. Em iOS, o túnel WebSocket ignora até VPNs do usuário, ligando-se diretamente à interface física. Isso não é 'uso compartilhado de largura de banda', como sugerem termos vagos nos EULAs: é uma infraestrutura de raspagem para IA terceira, alimentada por IPs residenciais que podem ser bloqueados, listados em blacklists ou associados a ataques de brute-force por outros clientes da rede.

O limite de 200 GB/mês via Wi-Fi é um indicador crítico: equivale a mais de 6 GB/dia, volume compatível com operações contínuas de scraping orientado por LLMs, como extração massiva de conteúdo para fine-tuning ou treino de modelos de linguagem. Em países como Uzbequistão, o limite pula para 500 MB/dia × 60 = 30 GB/dia, o que, somado ao comportamento persistente do SDK, configura uso intensivo de infraestrutura doméstica como se fosse um data center privado não declarado.

Em maio de 2026, a CEVIU já havia documentado três padrões convergentes: instalação silenciosa de modelos de IA (Chrome/Gemini Nano), exfiltração de tokens críticos (npm codexui-android) e exploração de falhas de configuração em apps corporativos (Microsoft). Agora, em junho, a descoberta da Include Security mostra a mesma lógica aplicada a um novo vetor: dispositivos de consumo de baixa vigilância (Smart TVs) usados como pontos de saída para infraestrutura de IA. Diferente dos casos anteriores, que envolviam dados locais ou credenciais, aqui o risco é sistêmico: o IP residencial do usuário vira parte ativa de uma rede de proxy comercial, com impacto direto na reputação de sua conexão e potencial responsabilização indireta por atividades alheias.

Empresas de segurança e equipes de TI precisam rever políticas de BYOD e acesso à rede corporativa: um funcionário com TV Samsung Tizen conectada ao Wi-Fi do escritório pode estar inadvertidamente injetando tráfego suspeito no perímetro interno. Governos reguladores já investigam práticas semelhantes sob o viés de violação de GDPR (consentimento não informado) e Lei Geral de Proteção de Dados (LGPD), art. 7º e 10º. Mais grave: plataformas como Google e Roku já baniram esse tipo de SDK, mas Samsung e LG ainda permitem, o que coloca fabricantes brasileiros de equipamentos OTT (como Sagemcom e Intelbras) em risco de exposição legal caso integrem soluções baseadas nesses SDKs sem auditoria independente.