OTT发展迅猛但隐患多多 你在看电视的同时电视里的SDK也在“看”你

中国信息通信研究院(以下称中国信通院)近日联合电信终端产业协会发布的《OTT终端数据安全和个人信息保护研究报告(2022年)》(以下简称《报告》)显示，在对多款互联网电视评测后发现，80%电视系统的内置SDK(第三方软件开发工具包)、预装APP擅自向第三方共享用户敏感数据。智能电视SDK侵犯个人信息权益的现象，比智能手机更为严重。

OTT发展迅猛但隐患多多

近年来，OTT(互联网公司以互联网为媒介、以互联网电视为终端向用户提供各类服务)行业快速发展。

《报告》显示，互联网电视销量稳步增长，传统和网生电视内容并驾齐驱，媒体价值持续快速增长。截至2021年底，互联网电视用户数10.83亿户，OTT广告营收达到150亿元，同比增长45%。发展趋势上，软硬件同步发力;营销趋势方面，程序化、大小屏打通、精准化投放成为主流;内容方面，长视频平台内容和电视直播内容占据主流，点播、短视频等业务服务在快速发展。

OTT终端产业迅猛发展的同时也带来了诸多安全问题，包括互联网电视系统版本落后、大量漏洞修补不及时、控制模块容易越权操控、语音控制内容容易被篡改、预置应用过度索取权限、用户数据非法采集共享、数据安全问题等。这些安全问题可能被不法分子以远程控制电视、远程安装恶意软件、远程监控家庭等方式利用，最终造成用户隐私泄露、财产损失。为厘清互联网电视行业目前在数据安全和个人信息保护方面面临的安全问题，中国信通院泰尔终端实验室、电信终端产业协会移动安全工作委员会联合安全团队和互联网电视厂商，对多款主流品牌型号的互联网电视产品开展安全评测，评测内容包括：硬件安全、操作系统和系统组件安全、预置应用安全、第三方软件安装安全、个人隐私和数据安全6个方面。

SDK强制授权大量存在

传统电视是单向信息流动的，你坐在沙发上看电视为你播放的信息。而互联网电视是一种智能终端，具有强交互特征。也就是说，你在看电视的时候，电视里的SDK也在“看”你。

《报告》显示，在数据安全和个人信息安全方面，互联网电视APP和第三方SDK强制授权、过度索权、超范围收集个人信息的现象大量存在;流量欺诈方面，OTT领域虚假作弊流量比例较高，榨取广告市场预算，威胁家庭用户的安全;内容方面，内容盗版侵权，二创、搬运等软盗版行为突出，影响视频付费市场发展;投屏安全方面，投屏更加便捷，但也存在泄漏用户隐私的风险。

《报告》显示，75%的被测电视操作系统存在已知安全漏洞，60%的预装APP存在违规采集MAC地址等用户信息的问题;80%的电视系统内置SDK、预装应用存在未获得用户同意向第三方共享用户敏感数据的问题。

从问题分布来看，系统组件存在的问题最多，达到27%。其次为预置APP的安全问题，占23%。来自操作系统和涉及个人信息保护的安全问题各占18%，数据安全问题占14%。

数据共享安全问题突出

《报告》显示，在用户数据安全问题中，数据共享安全问题比较突出。几乎所有的互联网电视APP都会和集成的第三方SDK共享数据，但这一行为在隐私政策中没有任何体现。用户的敏感信息没有脱敏处理便进行传输。如被测互联网电视的预置APP会明文展示账号信息页面的手机号，还有的会明文传输用户的遥控器操作、个人收视习惯信息等个人信息。

权限申请声明和信息采集声明在隐私政策中的展示也是重灾区。《报告》显示，80%互联网电视上的APP没有公开收集使用个人信息的其他规则。默认同意隐私政策、违规/超范围收集使用个人信息、第三方权限申请和信息采集声明缺失等问题大量存在。

测试发现，80%互联网电视上的APP存在安装软件包未加固的问题，攻击者可以用较低成本插入恶意代码，造成用户信息泄露和财产损失;57%的互联网电视上预置APP代码中的配置文件被设置为开启，容易引发应用漏洞，被黑客利用。

《报告》显示，被测试的互联网电视上的APP均涉及私自收集个人信息的问题，同时还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、过度索取权限等。

实现全覆盖监管迫在眉睫

OTT行业在不断创造价值的同时，其数据安全、隐私保护等问题需要产业生态共同努力。依据评测结果，《报告》提出以下五点建议：

一是加大对OTT终端及其APP、SDK的管理，对OTT终端企业、电视应用商店、重点电视APP、SDK实现监管全覆盖，打造更为安全的信息消费通信环境。

二是针对目前互联网电视各家服务商对于用户隐私保护协议尚不规范的现状，特别是在数据管理、广告活动所需采集的个人信息种类和如何使用、存储和保护用户数据方面，迫切需要制定规则。此外，鉴于《个人信息保护法》已将不可变更的设备标识定义为个人信息，测试表明，目前互联网电视终端里的APP和SDK均存在违规直接采集MAC地址等问题，因此亟须制定符合数据安全与个人信息保护法律法规要求，又能满足不同业务需求的标准规范。

三是鼓励企业建立整体数据隐私安全策略并告知用户，内部形成制度规则和流程，利用区块链、隐私计算技术建设安全体系，通过匿名化等手段将信息数据和具体个人脱钩，以达到信息数据流通的目的。

四是对互联网电视的操作系统、APP、SDK等开展检测认证，尽快推进三方企业进行流量反欺诈认证。

五是加强用户教育，提高个人信息保护意识，鼓励用户在选择互联网电视产品时，尽量选择经过安全认证的产品和应用软件，仔细阅读隐私政策相关内容，谨慎操作相关敏感权限。