近日,中国信息通信研究院联合电信终端产业协会发布《OTT终端数据安全和个人信息保护研究报告(2022年)》。报告对多款互联网电视评测发现,80%电视系统的内置SDK(第三方软件开发工具包)、预装App擅自向第三方共享用户敏感数据。
中信院网站发布报告
据了解,OTT本质上是互联网公司以互联网为媒介、以互联网电视为终端想用户提供各类服务。因此,OTT终端一般指互联网电视——相比传统的有线电视、IPTV,它是目前发展最快的产业形态。
随着互联网电视的日益普及,智能终端呈现出强交互与强AI的特征,越来越多的软硬件及技术创新得以应用。与此同时,安全问题爆发的频次也有所升高。
报告称,2019年年底,《华盛顿邮报》曾报道,美国最大的电视制造商通过及时记录用户的观看记录,将屏幕快照发送到服务器并识别出每秒日志。这些日志信息随后被卖给其他公司,用于用户分析并投放广告。
去年4月,南都曾报道,有网友在自家的创维电视里发现,勾正数据服务SDK频繁监控家里的联网设备,探测周围的Wi-Fi名称并回传至后台。随后,创维电视迅速禁用该SDK,称其未得到许可及授权。勾正SDK方也为隐私政策不清晰而道歉。
针对互联网电视大概存在的安全问题,报告对目前市场上互联网电视的7个主流品牌型号产品进行评测,评测内容包括硬件安全、操作系统和系统组件安全、预置应用安全、第三方软件安装安全、个人隐私和数据安全等6个方面66项。
从问题分布来看,系统组件存在的问题最多,达到27%。其次为预置App的安全问题,占23%。来自操作系统和涉及个人信息保护的安全问题各占18%,数据安全问题占14%。
互联网电视安全问题分布。图自报告
报告指出,在用户数据安全问题中,数据共享安全问题比较突出——几乎所有App都会和集成的第三方SDK共享数据,但隐私政策中没有任何体现。此外,用户敏感信息没有脱敏展示,比如明文展示账号信息页面的手机号,还有被测互联网电视的预置App会明文传输用户的遥控器操作、个人收视习惯信息等。
用户数据安全分布。图自报告
权限申请声明和信息采集声明在隐私政策中的展示问题也是一个重灾区。测试发现,80%互联网电视上的App没有公开收集使用个人信息的其他规则。默认同意隐私政策、违规/超范围收集使用个人信息、第三方权限申请和信息采集声明缺失等问题也大量存在。
隐私政策展示问题分布。图自报告
报告还发现,80%互联网电视上的App存在安装软件包未加固的问题,攻击者可以用较低成本插入恶意代码,造成用户信息泄露和财产损失。57%的互联网电视上预置App代码中的配置文件被设置为开启,容易引发应用漏洞,被黑客利用。
此外,测试发现,互联网电视上的App均涉及私自收集个人信息的问题,同时还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、过度索取权限等问题。
隐私保护安全问题分布。图自报告
报告指出,自2019年中国正式进入5G商用时代,互联网电视行业由发展期进入成熟期。据国家广播电视总局《2021年全国广播电视行业统计公报》显示,截至2021年底,互联网电视用户数10.83亿户,OTT集成服务业务收入78.02亿元,同比增长9.73%。据有关机构预测,到 2023年中国OTT大屏相关的业务与带动的产业规模将达到620亿左右。
依据评测结果,报告提出五点发展建议。一是加大对OTT终端及其App、SDK的管理,对OTT终端企业、电视应用商店、重点电视App、SDK实现监管全覆盖。二是加快制定《OTT终端用户隐私保护协议要求》《OTT终端补充设备标识体系》等标准规范。
三是鼓励企业建立整体数据隐私安全策略并告知用户,内部形成制度规则和流程,利用区块链、隐私计算技术建设安全体系,通过匿名化等手段将信息数据和具体个人脱钩,以达到信息数据流通的目的。
四是对互联网电视的操作系统、App、SDK等开展检测认证,尽快推进三方企业进行流量反欺诈认证。五是加强用户教育,提高个人信息保护意识,鼓励用户在选择互联网电视产品时,尽量选择经过安全认证的产品和应用软件,仔细阅读隐私政策相关内容,谨慎操作相关敏感权限。
采写:实习生程雨祺 南都记者蒋琳
