中國信息通信研究院(以下稱中國信通院)近日聯合電信終端產業協會發布的《OTT終端數據安全和個人信息保護研究報告(2022年)》(以下簡稱《報告》)顯示,在對多款互聯網電視評測后發現,80%電視系統的內置SDK(第三方軟件開發工具包)、預裝APP擅自向第三方共享用戶敏感數據。智能電視SDK侵犯個人信息權益的現象,比智能手機更為嚴重。
OTT發展迅猛但隱患多多
(資料圖片)
近年來,OTT(互聯網公司以互聯網為媒介、以互聯網電視為終端向用戶提供各類服務)行業快速發展。
《報告》顯示,互聯網電視銷量穩步增長,傳統和網生電視內容并駕齊驅,媒體價值持續快速增長。截至2021年底,互聯網電視用戶數10.83億戶,OTT廣告營收達到150億元,同比增長45%。發展趨勢上,軟硬件同步發力;營銷趨勢方面,程序化、大小屏打通、精準化投放成為主流;內容方面,長視頻平臺內容和電視直播內容占據主流,點播、短視頻等業務服務在快速發展。
OTT終端產業迅猛發展的同時也帶來了諸多安全問題,包括互聯網電視系統版本落后、大量漏洞修補不及時、控制模塊容易越權操控、語音控制內容容易被篡改、預置應用過度索取權限、用戶數據非法采集共享、數據安全問題等。這些安全問題可能被不法分子以遠程控制電視、遠程安裝惡意軟件、遠程監控家庭等方式利用,最終造成用戶隱私泄露、財產損失。為厘清互聯網電視行業目前在數據安全和個人信息保護方面面臨的安全問題,中國信通院泰爾終端實驗室、電信終端產業協會移動安全工作委員會聯合安全團隊和互聯網電視廠商,對多款主流品牌型號的互聯網電視產品開展安全評測,評測內容包括:硬件安全、操作系統和系統組件安全、預置應用安全、第三方軟件安裝安全、個人隱私和數據安全6個方面。
SDK強制授權大量存在
傳統電視是單向信息流動的,你坐在沙發上看電視為你播放的信息。而互聯網電視是一種智能終端,具有強交互特征。也就是說,你在看電視的時候,電視里的SDK也在“看”你。
《報告》顯示,在數據安全和個人信息安全方面,互聯網電視APP和第三方SDK強制授權、過度索權、超范圍收集個人信息的現象大量存在;流量欺詐方面,OTT領域虛假作弊流量比例較高,榨取廣告市場預算,威脅家庭用戶的安全;內容方面,內容盜版侵權,二創、搬運等軟盜版行為突出,影響視頻付費市場發展;投屏安全方面,投屏更加便捷,但也存在泄漏用戶隱私的風險。
《報告》顯示,75%的被測電視操作系統存在已知安全漏洞,60%的預裝APP存在違規采集MAC地址等用戶信息的問題;80%的電視系統內置SDK、預裝應用存在未獲得用戶同意向第三方共享用戶敏感數據的問題。
從問題分布來看,系統組件存在的問題最多,達到27%。其次為預置APP的安全問題,占23%。來自操作系統和涉及個人信息保護的安全問題各占18%,數據安全問題占14%。
數據共享安全問題突出
《報告》顯示,在用戶數據安全問題中,數據共享安全問題比較突出。幾乎所有的互聯網電視APP都會和集成的第三方SDK共享數據,但這一行為在隱私政策中沒有任何體現。用戶的敏感信息沒有脫敏處理便進行傳輸。如被測互聯網電視的預置APP會明文展示賬號信息頁面的手機號,還有的會明文傳輸用戶的遙控器操作、個人收視習慣信息等個人信息。
權限申請聲明和信息采集聲明在隱私政策中的展示也是重災區。《報告》顯示,80%互聯網電視上的APP沒有公開收集使用個人信息的其他規則。默認同意隱私政策、違規/超范圍收集使用個人信息、第三方權限申請和信息采集聲明缺失等問題大量存在。
測試發現,80%互聯網電視上的APP存在安裝軟件包未加固的問題,攻擊者可以用較低成本插入惡意代碼,造成用戶信息泄露和財產損失;57%的互聯網電視上預置APP代碼中的配置文件被設置為開啟,容易引發應用漏洞,被黑客利用。
《報告》顯示,被測試的互聯網電視上的APP均涉及私自收集個人信息的問題,同時還包括私自共享給第三方、超范圍收集個人信息、不給權限不讓用、過度索取權限等。
實現全覆蓋監管迫在眉睫
OTT行業在不斷創造價值的同時,其數據安全、隱私保護等問題需要產業生態共同努力。依據評測結果,《報告》提出以下五點建議:
一是加大對OTT終端及其APP、SDK的管理,對OTT終端企業、電視應用商店、重點電視APP、SDK實現監管全覆蓋,打造更為安全的信息消費通信環境。
二是針對目前互聯網電視各家服務商對于用戶隱私保護協議尚不規范的現狀,特別是在數據管理、廣告活動所需采集的個人信息種類和如何使用、存儲和保護用戶數據方面,迫切需要制定規則。此外,鑒于《個人信息保護法》已將不可變更的設備標識定義為個人信息,測試表明,目前互聯網電視終端里的APP和SDK均存在違規直接采集MAC地址等問題,因此亟須制定符合數據安全與個人信息保護法律法規要求,又能滿足不同業務需求的標準規范。
三是鼓勵企業建立整體數據隱私安全策略并告知用戶,內部形成制度規則和流程,利用區塊鏈、隱私計算技術建設安全體系,通過匿名化等手段將信息數據和具體個人脫鉤,以達到信息數據流通的目的。
四是對互聯網電視的操作系統、APP、SDK等開展檢測認證,盡快推進三方企業進行流量反欺詐認證。
五是加強用戶教育,提高個人信息保護意識,鼓勵用戶在選擇互聯網電視產品時,盡量選擇經過安全認證的產品和應用軟件,仔細閱讀隱私政策相關內容,謹慎操作相關敏感權限。
關鍵詞: 數據共享
