Aplicações gratuitas distribuídas em televisões inteligentes e telemóveis podem estar a transformar discretamente esses aparelhos em pontos de saída de uma rede de proxies residenciais — usada, em larga medida, para recolher dados da web destinados a treinar modelos de inteligência artificial. A denúncia parte de uma investigação publicada a 5 de junho de 2026 pela Include Security e pelo investigador independente conhecido por Buchodi, e levanta questões incómodas sobre consentimento, privacidade e utilização indevida da ligação doméstica à internet.
O que foi descoberto
No centro do caso está um kit de desenvolvimento de software (SDK) da Bright Data — empresa sediada em Telavive, sucessora da Luminati, que se apresenta como operadora da maior rede de proxies residenciais do mundo. Segundo a investigação, este SDK é embutido em aplicações gratuitas e, uma vez instalado, converte o dispositivo do utilizador num ponto de saída (exit node): o tráfego de recolha de dados dos clientes pagantes da Bright Data passa a ser encaminhado através da ligação doméstica à internet de quem instalou a aplicação.
A prova técnica mais detalhada resulta da engenharia inversa do SDK para iOS. O alcance às televisões inteligentes assenta no suporte de plataformas anunciado pela própria Bright Data e na sua lista pública de parceiros. A empresa publicita uma reserva de mais de 150 milhões de endereços IP obtidos por consentimento, dentro de uma rede que diz ultrapassar os 400 milhões de IPs residenciais.
Porque é que as televisões são alvos ideais
Uma televisão ligada (CTV) reúne as condições perfeitas para este tipo de utilização: está quase sempre ligada à corrente, dispõe de uma ligação rápida, raramente tem limites de tráfego e passa longos períodos sem ser observada. Ao contrário de um computador, dificilmente o utilizador nota um consumo anormal de largura de banda.
O risco imediato não é o roubo de uma conta ou de dados pessoais. É o facto de a ligação doméstica e a respetiva largura de banda passarem a servir de infraestrutura de recolha de dados para terceiros — com o agravante de o tráfego sair com o endereço IP da casa do utilizador, e não com o do cliente que encomenda a recolha. Os investigadores referem ainda que o SDK não teria mecanismos de autenticação adequados e seria capaz de contornar configurações de VPN.
A questão do consentimento
É aqui que reside o ponto mais sensível. A Bright Data afirma que os seus pontos de saída aderem à rede através de um ecrã de consentimento. Porém, a investigação descreve esse consentimento como pouco transparente — em alguns casos, uma caixa de diálogo navegável apenas com as setas do comando da televisão, facilmente ignorada pelo utilizador. A diferença entre uma rede legítima baseada em adesão informada e uma rede que se aproveita de aparelhos de consumo está precisamente na qualidade desse consentimento.
O contexto ajuda a perceber a procura. As defesas anti-bot de serviços como a Cloudflare ou a DataDome bloqueiam recolhas de dados provenientes de IPs de centros de dados, o que empurra os operadores de scraping para ligações residenciais, muito mais difíceis de distinguir de um utilizador comum. Em outubro de 2025, o jornalista Brian Krebs já tinha noticiado o uso de botnets para alimentar a recolha massiva de dados para IA; em janeiro, a Google desmantelou a rede criminosa de proxies IPIDEA.
Reações das plataformas
Na sequência destas revelações, a Google, a Amazon e a Roku passaram a restringir os SDKs de proxy em segundo plano, e a Bright Data terá deixado de operar nessas plataformas. Ainda assim, segundo a investigação, mantém o suporte ao Tizen (Samsung) e ao webOS (LG). A Include Security afirma ter notificado a Bright Data a 11 de maio de 2026, sem ter recebido resposta antes da publicação.
Como se proteger
- Rever as aplicações instaladas na televisão e desinstalar as que sejam desnecessárias ou de origem duvidosa, sobretudo as gratuitas que oferecem conteúdos “à borla”.
- Ler com atenção os ecrãs de consentimento, mesmo quando navegados pelo comando — recusar partilhas que não se compreendam.
- Isolar as televisões e dispositivos de streaming numa rede separada (rede de convidados ou VLAN), de modo a que um aparelho comprometido não tenha visibilidade sobre computadores e telemóveis.
- Bloquear ao nível do router os domínios associados ao SDK, entre os quais
proxyjs.bright-sdk.com,clientsdk.bright-sdk.comeproxyjs.brdtnet.com. - Monitorizar consumos de largura de banda anormais, sobretudo em períodos em que a televisão deveria estar inativa.
Porque é que isto importa
Para os cidadãos portugueses, o caso é um lembrete de que os dispositivos “inteligentes” que enchem as nossas casas — televisões, comandos, eletrodomésticos ligados — são pequenos computadores com acesso permanente à internet, e que o modelo de negócio de muitas aplicações gratuitas pode passar por monetizar precisamente a ligação doméstica. Para as PME e organizações, há um risco adicional: dispositivos pessoais com estas aplicações, ligados à rede da empresa, podem transformar a infraestrutura corporativa em retransmissor de tráfego de terceiros sem o conhecimento de ninguém.
A nível europeu, a recolha de dados sem consentimento claro levanta questões à luz do Regulamento Geral sobre a Proteção de Dados (RGPD), enquanto o Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2) reforça a exigência de gestão de risco sobre todos os dispositivos ligados às redes das entidades abrangidas. A segmentação de redes e o inventário de dispositivos deixam de ser boas práticas opcionais para passarem a ser uma necessidade.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Include Security, pelo investigador Buchodi, e por publicações especializadas como o The Hacker News e o Cyber Security News.