Ihr Smart-TV hilft Hackern möglicherweise bei Website-Angriffen

Ihr Smart-TV hilft Hackern möglicherweise bei Website-Angriffen

BotnetDatenschutzSmart-TVAnti-ScrapingResidential Proxy

Quellen:LWN + Lobsters + Spur.us + web research

Am 22. Juni 2026 veröffentlichte das Cybersicherheitsunternehmen Spur einen Untersuchungsbericht. Die Forscher scannten insgesamt 6.038 Apps auf den beiden großen Smart-TV-Plattformen LG webOS und Samsung Tizen – mit beunruhigendem Ergebnis: 2.058 dieser Apps enthielten ein SDK für Residential Proxies, also mehr als ein Drittel. Bei LG war es noch deutlicher: Dort verkaufte fast die Hälfte der Apps im Hintergrund die Heim-IP-Adresse der Nutzer.

Nach außen hin handelt es sich bei diesen Apps um Aquarien-Bildschirmschoner, Uhren, Kartenspiele oder Hundewandbilder. Während auf dem Schirm die Idylle herrscht, arbeitet der Code darunter mit Ihrem Netzwerk für fremde Zwecke.

Statistik der Proxy-SDK-Verbreitung auf Smart-TV-Plattformen: Bei LG webOS enthält nahezu die Hälfte der Apps Proxy-Code ▲ Bildquelle: Spur.us Untersuchungsbericht. Die horizontale Achse zeigt die Plattform, die vertikale die Anzahl der Apps; rot markiert Apps mit entdecktem Proxy-SDK.

Was ist ein Residential Proxy

Zum Verständnis ist zunächst ein Begriff nötig. Jedes Gerät im Internet besitzt eine IP-Adresse, anhand derer Webseiten den Herkunftsort des Besuchers bestimmen. Die IP-Adressen herkömmlicher Rechenzentren lassen sich leicht identifizieren – die Anbieter verfügen über fertige Datenbanken der IP-Bereiche und erkennen auf einen Blick: „Das ist kein Mensch.“ Wer also Daten sammelt, hat längst aufgegeben, seine Server direkt zum Abruf zu schicken.

Die neue Lösung: die Ausgangsleitung gewöhnlicher Haushalte ausleihen. Ein solcher Dienst heißt „Residential Proxy“ (Wohnhaus-Proxy). Die Breitband-IP Ihres Hauses gleicht jener des Nachbarn – beides sind echte, von Telekom oder Vodafone an Privatkunden vergebene Adressen. Sieht eine Webseite einen solchen Besucher, kann sie kaum unterscheiden, ob Mensch oder Maschine.

Woher stammen Residential Proxies? Es gibt zwei Wege. Der erste ist rein bösartig: Schadsoftware infiziert die Computer oder Smartphones der Nutzer und steuert diese heimlich als Proxy-Knoten. Anfang des Jahres zerschlugen Google und das FBI gemeinsam ein Botnet namens IPIDEA, später folgte NetNut. LWN-Betreiber Jonathan Corbet erwähnte in seinem Artikel vom 10. Juli, dass nach Abschaltung von IPIDEA die Crawler-Angriffe auf seine Seite für ein bis zwei Monate deutlich zurückgingen – dann aber zurückkehrten.

Der zweite Weg ist „offen und legal“: Proxy-Anbieter stellen ein SDK (Software Development Kit) bereit, mit dem App-Entwickler einen Codeblock in ihr Produkt einbetten. Beim Öffnen der App erscheint ein Zustimmungsdialog; nach dem Anhaken kann die App im Hintergrund die Netzverbindung des Nutzers nutzen, um fremden Datenverkehr weiterzuleiten. Der App-Entwickler erhält Geld, der Proxy-Anbieter den Knoten, der Nutzer eine „kostenlose“ oder „werbefreie“ App. Bright Data ist einer der auffälligsten Akteure in diesem Bereich – es bietet sogar ein „kostenloses“ VPN an, unter der Bedingung, dass das Gerät des Nutzers selbst zu einem Knoten im Bright-Data-Netz wird.

Warum der Fernseher zum idealen Proxy-Wirt wurde

Proxy-Betrieb auf Smartphone oder PC fällt dem Nutzer früher oder später auf: der Akku leert sich schneller, die Datenrechnung springt hoch, der Lüfter heult. Beim Fernseher ist das anders. Spurs Bericht enthält eine präzise Beschreibung:

Ein Smart-TV ist ein nahezu idealer Proxy-Wirt. Es befindet sich im selben Netz wie die übrigen Geräte zu Hause, doch betrachtet man das TV nicht als „Computer“ und prüft es daher fast nie so wie einen PC. Kein spürbarer Akkuverbrauch, keine explodierende Datenrechnung, keine verdächtige Hintergrundaktivität im App-Umschalter. Ein Fernseher kann Jahre lang eingesteckt, angemeldet und vernetzt sein, während der Besitzer ihn lediglich als Möbel wahrnimmt.

Diese Wahrnehmungslücke bestimmt den Wert der Zustimmungsstufe. Wer mit der Fernbedienung eine App auf dem TV installiert, überspringt den eingeblendeten Zustimmungsdialog meist schnell – die Bedienung mit der Fernbedienung ist mühsam genug, wer liest da schon jedes Wort der Bedingungen? Entscheidender: Diese SDK-„Zustimmung“ ist in der Regel nur einmal nötig. Man stimmt zu, und der Proxy-Dienst läuft im Hintergrund weiter, selbst wenn man die App schließt oder auf einen anderen Kanal umschaltet.

Das Spur-Team zeichnete mehrere typische Zustimmungsmasken auf. Am „aufrichtigsten“ war dabei Pac-Man (Schachtel-Männchen) auf der Samsung-Tizen-Plattform: Es ließ den Nutzer ausdrücklich zwischen zwei Modi wählen – entweder Werbung ertragen und spielen, oder den Proxy-Dienst von Bright Data akzeptieren und werbefrei spielen. „Indexierung von Webseiten über Ihre Netzverbindung“ – so wörtlich. Eine klassische Monetarisierungs-Gabel: Entweder Ihre Aufmerksamkeit oder Ihre IP muss bezahlt werden.

Pac-Mans Zustimmungsmaske auf Samsung Tizen: Werbung oder Proxy-Knoten, zur Wahl ▲ Bildquelle: Spur.us Untersuchungsbericht. Pac-Man lässt den Nutzer zwischen „mit Werbung“ und „werbefrei, aber mit geteilter Netzverbindung“ wählen.

Wer diese Apps erstellt

Spurs Untersuchung offenbarte zudem ein tieferliegendes Muster. In vielen Fällen sind die Proxy-Anbieter selbst die Veröffentlicher der Apps. Bright Data samt verbundener Namen stellte 367 als Proxy markierte Apps in dem Datensatz; Honeygain (Tochtergesellschaft von Oxylabs) erschien 16-mal als Veröffentlicher.

Das bedeutet: Nicht wenige Apps waren von Anfang an keine „ordentlichen Apps, die zufällig ein Proxy-SDK eingebaut haben“. Eher gleichen sie „eigenen Proxy-Beständen“: hastig zusammengebaute Casual-Games, Bildschirmschoner, Werkzeug-Hüllen, massenhaft veröffentlicht allein, um dem SDK eine Laufzeitumgebung zu bieten. Die App ist das Geschenkpapier, die Wohnhaus-IP das eigentliche Produkt.

Warum Anti-Scraping-Maßnahmen versagen

Das Bestehen von Residential-Proxy-Netzen macht die von Webseitenbetreibern eingesetzten Anti-Scraping-Schutzmaßnahmen faktisch wirkungslos.

Betrachten wir Anubis. Dieses Open-Source-Werkzeug filtert Crawler-Programme, die kein JavaScript ausführen, indem es vor dem Seitenbesuch eine „Proof-of-Work“-Rechenaufgabe (Arbeitsnachweis) vom Browser verlangt. Seit 2025 setzten zahlreiche Webseiten, die durch Crawler-Angriffe in die Knie gezwungen worden waren, Anubis ein. LWN-Betreiber berichtete, allein seine Seite habe kürzlich den heftigsten Crawler-Angriff ihrer Geschichte erlebt – dank vorausschauend eingesetzter Schutzmaßnahmen bemerkten die meisten Leser nichts davon.

Doch die Frage lautet: Wen blockiert Anubis eigentlich – die wahren bösartigen Crawler oder ausgerechnet jene Normalnutzer, die zufällig JavaScript deaktiviert haben? Entwickler Farid Zakaria lieferte in seinem Blogbeitrag vom 9. Juli eine niederschmetternde Antwort: Er ließ die KI ein Werkzeug namens anubis-fetch schreiben, das Anubis eigens umgeht – in kurzer Zeit. Für die Crawler-Seite ist das Lösen der Anubis-Rechenaufgabe ein einmaliger Kostenaufwand – der Cookie lässt sich nach Erhalt zwischenspeichern und wiederverwenden. Für den echten Nutzer bedeutet es: Bei jedem Öffnen einer neuen Webseite mehrere Sekunden Wartezeit und CPU-Last, und zwar jeder für sich, ohne dass sich die Last „teilen“ ließe.

Zakarias Artikeltitel ist zugleich sein Fazit: Who does Anubis actually stop? (Wen hält Anubis eigentlich auf?) – Die Ziele, die es blockieren wollte, umgehen es mühelos, während jene Realnutzer geschädigt werden, die mit alten Handys, Textbrowsern oder Screenreadern surfen.

Residential Proxies machen dieses Problem noch unlösbarer. Läuft der Crawler über die IP Ihres Fernsehers, sieht die Webseite im „Besucher“ keinen Unterschied zum Nachbarn, der seinen Browser öffnet. Sperrt man diese IP, sperrt man den gesamten Netzzugang eines echten Haushalts. Der LWN-Kommentator splitbrain traf den Nagel auf den Kopf: Gegen Residential-Proxy-Crawler genüge ein einziger Button und ein Cookie, keineswegs ein komplexer PoW. Doch das Problem lautet – wie erkennt man, hinter welcher IP ein Fernseher im Dienst steht?

Die auseinanderdriftenden Positionen der Plattformen

Angesichts dieser Lage zeigen die verschiedenen TV-Plattformen längst deutlich getrennte Haltungen.

Amazon Fire TV verbietet in seiner Geräte- und Systemmissbrauchsrichtlinie ausdrücklich, dass Apps Dritten Proxy-Dienste anbieten. Roku hat laut Lowpass (übernommen von The Verge) Entwicklern ebenfalls die Nutzung von Bright SDK und ähnlichen Proxy-Diensten untersagt; nach Kontaktaufnahme durch Medien verschwanden die betreffenden Apps von der Plattform.

Doch LG und Samsung haben bislang keine gleichwertige öffentliche rote Linie gezogen. Spurs Untersuchungsdaten zeigen: Das von Amazon und Roku ausdrücklich verbotene Geschäftsmodell existiert auf webOS und Tizen weiterhin in großem Umfang.

Am Ende seines Artikels schrieb Jonathan Corbet von LWN bewegende Worte: Die Industrie hinter diesen Angriffen scheine sich völlig gleichgültig gegenüber der Zerstörung unabhängiger Webseiten zu verhalten – Hauptsache, die Daten sind da. Diese Haltung richte sich nicht nur gegen Webseiten, sondern erstrecke sich auf den Planeten und seine Wirtschaft. Manche widersetzten sich dieser Denkweise und würden weiterkämpfen. Vielleicht entscheide die Welt eines Tages, den Modellfirmen und ihren verwandten Techniken eine minimale ethische Untergrenze zu setzen. Bis zu jenem Tag jedoch werde das Verhalten nicht aufhören, und man habe keine andere Wahl, als sich zu verteidigen.

Nicht nur Crawling

Es gibt eine weitere Dimension, die ernst genommen werden muss: Sobald eine App in Ihrem Heimnetz Proxy-Rechte erlangt hat, geht das Risiko über „jemand leihat sich meine öffentliche IP“ hinaus. Erlaubt der Proxy-Anbieter – bewusst oder durch versagende Filtermechanismen – Anfragen an private oder lokale Adressen, kann der Fernseher zum Sprungbrett eines Angreifers ins heimische LAN werden: Router-Verwaltungsmasken, NAS-Speicher, Drucker, Kameras, Entwicklungsrechner und alles, was auf lokalen Ports lauscht.

Dies ist keine Hypothese. Im Januar 2026 berichtete KrebsOnSecurity über ein Botnet namens Kimwolf, das über Residential-Proxy-Netze rückwärts in das LAN der Proxy-Knoten eindrang und sich dort weiter ausbreitete.

Das Urteil des Autors: Das Wesen dieses Angriff-und-Verteidigungsspiels liegt nicht in der Technik. Das Geschäftsmodell der Residential Proxies funktioniert deshalb, weil es die Frage der informierten Zustimmung des Nutzers an die App-Entwickler auslagert – und diese werden mit Geld, nicht mit dem Nutzerschutz, belohnt. Wird die Standardidentität eines Fernsehers als „Möbel“ statt als „vernetzter Computer“ begriffen, und genügt ein einziger Klick mit der Fernbedienung, um dauerhaft einen Hintergrund-Proxy zu autorisieren, reißt die Verantwortungskette des gesamten Systems ab.

Referenzen:

  • LWN: An update on the scraper situation
  • fzakaria: Who does Anubis actually stop
  • Spur.us: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
  • Lobsters-Diskussion (item?id=kpaxih)
  • Lobsters-Diskussion (item?id=ktew3s)