谷歌近期采取行动，拆解互联网上规模最大的住宅代理网络之一，切断住宅代理服务商IPIDEA对全球大量被劫持设备的访问。谷歌称，此举同时针对相关技术基础设施与商业运作方式，已将数百万受影响的手机、电视和电脑从该类网络中移除，并对利用消费者硬件“隐蔽接入”牟利的行为发出警示。

谷歌表示，此次处置反映出相关滥用已渗透至日常应用生态：从低价安卓电视盒等硬件，到表面为常见工具类应用、但内含恶意软件开发工具包（SDK）的软件。谷歌指出，这类隐蔽网络因可借助普通家庭的真实IP地址转发流量，被职业间谍与网络犯罪分子用于掩盖活动轨迹。

IPIDEA被指通过SDK将设备纳入代理网络

根据谷歌披露的信息，IPIDEA作为住宅代理服务提供商，对外宣传可提供大量真实消费者IP地址资源，但并未公开这些地址的获取方式。谷歌将其运作模式与嵌入式SDK关联：应用开发者将相关SDK嵌入移动端或桌面端软件以获取收益；一旦SDK进入应用，设备便可能在用户未作出实质同意的情况下被纳入IPIDEA网络，用户的网络连接被“出租”给付费客户使用。

谷歌调查称，在安卓生态中，该类SDK出现在大量低成本硬件与不知名应用中。谷歌表示，相关机制可将手机与安卓电视盒变为按需中继节点，使第三方能够通过这些设备路由流量。谷歌指出，由于流量来源呈现为合法消费者IP地址，相较数据中心IP更不易触发企业防火墙与反欺诈过滤；在追踪数百万安卓设备的相关行为后，上述风险更为突出。

结合法律与平台措施切断服务运行条件

谷歌表示，其应对并非仅依赖软件更新，而是将IPIDEA视为系统性威胁，采取法律与技术层面的组合措施。公司称，已通过法律行动针对维持代理服务运行的基础设施，涉及用于协调被劫持设备流量的服务器与账户；同时，利用对安卓生态的管理能力识别携带违规SDK的应用，移除其分发渠道，并切断其对关键服务的访问。

谷歌还将IPIDEA与更广泛的住宅代理服务生态相联系，并提及BadBox2等僵尸网络，认为相关服务模糊了灰色市场流量路由与网络犯罪之间的界限。谷歌表示，通过结合法律程序与平台级处置，意在将商业化利用受损硬件的行为纳入其安全政策的重点打击范围。

谷歌：单月内至少550个威胁组织使用相关服务

谷歌威胁情报组（GTIG）称，在单月内至少有550个不同威胁组织使用该类服务，借助住宅IP地址掩护间谍活动、欺诈及其他行动。谷歌并表示，相关使用与朝鲜、伊朗和俄罗斯等国家支持的威胁行为者有关联，显示该网络并非仅被低级别犯罪团伙利用。

谷歌指出，对国家支持团体而言，通过欧洲家庭智能电视或亚洲低价安卓手机等设备路由流量，有助于在目标探测、数据窃取或影响活动中伪装为普通用户，从而增加依赖IP信誉进行归因的防御难度。谷歌称，切断IPIDEA对数百万设备的访问，削弱了相关行为者可利用的“伪装层”。

对Alphabet而言：平台安全与风险控制并行

谷歌母公司Alphabet在此次行动中强调平台完整性与风险降低。报道援引分析师Faizan Farooque的观点称，此举被视为拆解黑客常用主要代理网络的重要步骤，并强化Alphabet将安全视为核心能力的定位。

谷歌在披露中也提到，通过点名IPIDEA并说明基于SDK的变现模式如何演变为“被劫持设备经济”，公司同时承认应用分发链条可能被滥用，并强调其具备通过技术与法律资源处置大规模网络的能力。

谷歌提示：低价硬件与冷门应用可能成为载体

谷歌调查指出，低价安卓电视盒与不知名工具类应用是相关SDK的常见载体之一，意味着家庭流媒体设备或免费工具软件可能在后台将带宽转售给第三方。谷歌同时提示，第三方SDK可能构成供应链风险，相关团队应对请求网络权限或后台执行权限的组件进行更严格审查，并建立嵌入SDK清单。

在企业防御层面，谷歌建议将住宅代理网络带来的流量特征纳入威胁模型，并加强对来自已知被滥用消费者IP范围的登录尝试与API调用的控制。谷歌表示，尽管此次行动移除了一名主要参与者，但促成相关模式存在的商业激励仍在。