你在看電視 電視里的SDK也在“看”你

中國信息通信研究院(以下稱中國信通院)近日聯(lián)合電信終端產(chǎn)業(yè)協(xié)會發(fā)布的《OTT終端數(shù)據(jù)安全和個人信息保護研究報告(2022年)》(以下簡稱《報告》)顯示，在對多款互聯(lián)網(wǎng)電視評測后發(fā)現(xiàn)，80%電視系統(tǒng)的內置SDK(第三方軟件開發(fā)工具包)、預裝APP擅自向第三方共享用戶敏感數(shù)據(jù)。智能電視SDK侵犯個人信息權益的現(xiàn)象，比智能手機更為嚴重。

OTT發(fā)展迅猛但隱患多多

近年來，OTT(互聯(lián)網(wǎng)公司以互聯(lián)網(wǎng)為媒介、以互聯(lián)網(wǎng)電視為終端向用戶提供各類服務)行業(yè)快速發(fā)展。

《報告》顯示，互聯(lián)網(wǎng)電視銷量穩(wěn)步增長，傳統(tǒng)和網(wǎng)生電視內容并駕齊驅，媒體價值持續(xù)快速增長。截至2021年底，互聯(lián)網(wǎng)電視用戶數(shù)10.83億戶，OTT廣告營收達到150億元，同比增長45%。發(fā)展趨勢上，軟硬件同步發(fā)力;營銷趨勢方面，程序化、大小屏打通、精準化投放成為主流;內容方面，長視頻平臺內容和電視直播內容占據(jù)主流，點播、短視頻等業(yè)務服務在快速發(fā)展。

OTT終端產(chǎn)業(yè)迅猛發(fā)展的同時也帶來了諸多安全問題，包括互聯(lián)網(wǎng)電視系統(tǒng)版本落后、大量漏洞修補不及時、控制模塊容易越權操控、語音控制內容容易被篡改、預置應用過度索取權限、用戶數(shù)據(jù)非法采集共享、數(shù)據(jù)安全問題等。這些安全問題可能被不法分子以遠程控制電視、遠程安裝惡意軟件、遠程監(jiān)控家庭等方式利用，最終造成用戶隱私泄露、財產(chǎn)損失。為厘清互聯(lián)網(wǎng)電視行業(yè)目前在數(shù)據(jù)安全和個人信息保護方面面臨的安全問題，中國信通院泰爾終端實驗室、電信終端產(chǎn)業(yè)協(xié)會移動安全工作委員會聯(lián)合安全團隊和互聯(lián)網(wǎng)電視廠商，對多款主流品牌型號的互聯(lián)網(wǎng)電視產(chǎn)品開展安全評測，評測內容包括：硬件安全、操作系統(tǒng)和系統(tǒng)組件安全、預置應用安全、第三方軟件安裝安全、個人隱私和數(shù)據(jù)安全6個方面。

SDK強制授權大量存在

傳統(tǒng)電視是單向信息流動的，你坐在沙發(fā)上看電視為你播放的信息。而互聯(lián)網(wǎng)電視是一種智能終端，具有強交互特征。也就是說，你在看電視的時候，電視里的SDK也在“看”你。

《報告》顯示，在數(shù)據(jù)安全和個人信息安全方面，互聯(lián)網(wǎng)電視APP和第三方SDK強制授權、過度索權、超范圍收集個人信息的現(xiàn)象大量存在;流量欺詐方面，OTT領域虛假作弊流量比例較高，榨取廣告市場預算，威脅家庭用戶的安全;內容方面，內容盜版侵權，二創(chuàng)、搬運等軟盜版行為突出，影響視頻付費市場發(fā)展;投屏安全方面，投屏更加便捷，但也存在泄漏用戶隱私的風險。

《報告》顯示，75%的被測電視操作系統(tǒng)存在已知安全漏洞，60%的預裝APP存在違規(guī)采集MAC地址等用戶信息的問題;80%的電視系統(tǒng)內置SDK、預裝應用存在未獲得用戶同意向第三方共享用戶敏感數(shù)據(jù)的問題。

從問題分布來看，系統(tǒng)組件存在的問題最多，達到27%。其次為預置APP的安全問題，占23%。來自操作系統(tǒng)和涉及個人信息保護的安全問題各占18%，數(shù)據(jù)安全問題占14%。

數(shù)據(jù)共享安全問題突出

《報告》顯示，在用戶數(shù)據(jù)安全問題中，數(shù)據(jù)共享安全問題比較突出。幾乎所有的互聯(lián)網(wǎng)電視APP都會和集成的第三方SDK共享數(shù)據(jù)，但這一行為在隱私政策中沒有任何體現(xiàn)。用戶的敏感信息沒有脫敏處理便進行傳輸。如被測互聯(lián)網(wǎng)電視的預置APP會明文展示賬號信息頁面的手機號，還有的會明文傳輸用戶的遙控器操作、個人收視習慣信息等個人信息。

權限申請聲明和信息采集聲明在隱私政策中的展示也是重災區(qū)。《報告》顯示，80%互聯(lián)網(wǎng)電視上的APP沒有公開收集使用個人信息的其他規(guī)則。默認同意隱私政策、違規(guī)/超范圍收集使用個人信息、第三方權限申請和信息采集聲明缺失等問題大量存在。

測試發(fā)現(xiàn)，80%互聯(lián)網(wǎng)電視上的APP存在安裝軟件包未加固的問題，攻擊者可以用較低成本插入惡意代碼，造成用戶信息泄露和財產(chǎn)損失;57%的互聯(lián)網(wǎng)電視上預置APP代碼中的配置文件被設置為開啟，容易引發(fā)應用漏洞，被黑客利用。

《報告》顯示，被測試的互聯(lián)網(wǎng)電視上的APP均涉及私自收集個人信息的問題，同時還包括私自共享給第三方、超范圍收集個人信息、不給權限不讓用、過度索取權限等。

實現(xiàn)全覆蓋監(jiān)管迫在眉睫

OTT行業(yè)在不斷創(chuàng)造價值的同時，其數(shù)據(jù)安全、隱私保護等問題需要產(chǎn)業(yè)生態(tài)共同努力。依據(jù)評測結果，《報告》提出以下五點建議：

一是加大對OTT終端及其APP、SDK的管理，對OTT終端企業(yè)、電視應用商店、重點電視APP、SDK實現(xiàn)監(jiān)管全覆蓋，打造更為安全的信息消費通信環(huán)境。

二是針對目前互聯(lián)網(wǎng)電視各家服務商對于用戶隱私保護協(xié)議尚不規(guī)范的現(xiàn)狀，特別是在數(shù)據(jù)管理、廣告活動所需采集的個人信息種類和如何使用、存儲和保護用戶數(shù)據(jù)方面，迫切需要制定規(guī)則。此外，鑒于《個人信息保護法》已將不可變更的設備標識定義為個人信息，測試表明，目前互聯(lián)網(wǎng)電視終端里的APP和SDK均存在違規(guī)直接采集MAC地址等問題，因此亟須制定符合數(shù)據(jù)安全與個人信息保護法律法規(guī)要求，又能滿足不同業(yè)務需求的標準規(guī)范。

三是鼓勵企業(yè)建立整體數(shù)據(jù)隱私安全策略并告知用戶，內部形成制度規(guī)則和流程，利用區(qū)塊鏈、隱私計算技術建設安全體系，通過匿名化等手段將信息數(shù)據(jù)和具體個人脫鉤，以達到信息數(shù)據(jù)流通的目的。

四是對互聯(lián)網(wǎng)電視的操作系統(tǒng)、APP、SDK等開展檢測認證，盡快推進三方企業(yè)進行流量反欺詐認證。

五是加強用戶教育，提高個人信息保護意識，鼓勵用戶在選擇互聯(lián)網(wǎng)電視產(chǎn)品時，盡量選擇經(jīng)過安全認證的產(chǎn)品和應用軟件，仔細閱讀隱私政策相關內容，謹慎操作相關敏感權限。【責任編輯/周末】

來源：中國消費者報

IT時代網(wǎng)(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權所有，未經(jīng)授權，轉載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關文章

你在看電視 電視里的SDK也在“看”你

【特別報道】大屏爭奪戰(zhàn)

彩電產(chǎn)業(yè)成本壓力逐步緩解 市場低迷價格戰(zhàn)或再啟？

“銀發(fā)族”買電視怎么選？央視調查發(fā)現(xiàn)這些功能很關鍵