■本报记者 武晓莉
　　用手机、语音或手势就能遥控电视而不用遥控器、可以下载游戏视频音乐等第三方应用、连上WiFi就能上网、可以和手机ipad互动、可以通过USB播放内容、可以玩体感游戏、可以把手机内容投屏在电视上看……
　　当传统电视遇到人工智能变身智能电视，人们的娱乐生活变得更加妙趣横生。但在智能时代，欢乐往往伴随着危险。如果黑客也可以通过智能电视AI端口远程控制摄像头、安装恶意软件、播放违法广告，甚至进一步窃取你的手机隐私信息，恐怕你就不会那么开心了。
　　日前，泰尔终端实验室联合安全厂商举办了“人工智能时代智能电视安全新挑战”技术沙龙，邀请国内主要的智能电视生产厂商及相关安全研发团队闭门研讨，共同探讨人工智能电视安全所面临的挑战及存在的突出问题，并邀请安全方案公司分享安全技术，共同探讨安全解决办法,提高信息安全水平，保护用户的合法权益。
●智能电视安全堪忧
　　记者获悉，此次由泰尔终端实验室信息安全部杨正军副主任发布的《中国智能电视安全评测报告》（以下简称《报告》），是由泰尔终端实验室牵头，百度、安天、盘古、掌御等安全公司共同测试，历经5个多月时间才形成的。《报告》）对智能电视行业的信息安全情况进行了摸底，结果表明，智能电视信息安全现状不容乐观。
　　杨正军介绍说，《报告》）分为四个方面：智能电视安全形势面临挑战、智能电视行业安全评测分析、推进智能电视安全评估认证体系、推进我国智能电视发展的建议。
　　杨正军表示，终端产业与信息消费、大数据、物联网产业紧密结合，呈现智能化、网络化趋势，正步入快速发展和转型升级的机遇期；智能电视作为各类应用服务的载体，随着产品种类的泛化，应用场景不断扩大。特别是新型智能电视产品，已开始催生巨大的潜在市场。根据工业和信息化部的规划，新一代人工智能将着重在智能电视等领域取得突破，支持智能传感、物联网、机器学习等技术在智能电视产品中的应用，提升家电等产品的智能水平、实用性和安全性；到2020年，智能电视产品类别明显丰富，智能电视市场渗透率将达到90%以上。
　　然而，从生产领域到技术领域再到运营领域，安全威胁日益严重，部分厂家虽已在终端侧采用许多安全设计或检测防御手段，但由于攻击技术不断更新，现有的安全抵御手段较为被动。安全威胁可能出现在终端生态系统各个环节，如不对智能电视生态系统进行整体安全管控，将会影响整个终端生态系统的发展。
●摸底结果不容乐观
　　据了解，参与评测的品牌包括创维、海信、TCL、夏普、长虹、小米、康佳、微鲸、飞利浦、海尔、乐视、暴风TV等，评测内容包括系统漏洞、配置安全、端口安全、重要组件安全、预置应用安全、第三方软件安装安全、语音控制模块安全和用户敏感信息安全8个方面24项内容。
　　评测结果显示，目前市面上的智能电视普遍存在一定安全风险。电视控制权限管理、已知安全漏洞检测、系统的安全配置、安全加固、逆向分析、二次打包、用户数据传输等项风险比较高，达90%以上。评测结果还显示，安全漏洞、配置不当、越权操作、调式端口防护不足、应用可远程静默安装、高危漏洞修复率低、用户敏感信息明文传输、预置应用安全防护缺失等信息安全问题广泛存在，智能电视安全情况不容乐观。
　　造成智能电视信息安全隐患的因素有四个方面：一是随着网络扁平化发展，接入安全问题突出，接入点无处不在，网络边界不清晰，曾在终端防护中使用的隔离、切断等安全管控措施面临较大挑战，任一设备受到攻击感染，其传播速度将呈几何级增长，影响范围难以想象；二是数据大多存放云端，传输和存储安全面临挑战，当前云服务市场尚处于发展阶段，公有云安全防护能力参差不齐，网络服务、云应用中出现的安全问题即可影响智能电视用户终端信息安全；三是厂商各自为营，缺乏统一标准；四是行业安全产业化滞后，监管缺失，产业链对网络安全重视不够。
●安全威胁就在身边
　　对于用户来说，智能电视存在的隐患是如何威胁到他们的信息安全的呢？杨正军针对重点问题以及因此产生的结果进行了分析。
　　ROOT权限可被远程获取，设备被远程劫持。黑客可利用这些问题，获取电视的完全控制权，即电视对于攻击者处于完全“裸露”状态，攻击者可随意实现远程开关摄像头、安装恶意应用、控制勒索、劫持电视播放内容显示违法广告、收集用户隐私生活信息等操作。
　　明文传输用户信息，用户隐私易被泄露和攻击。部分被测智能电视的预置应用存在明文传输用户信息的行为，用户的遥控器操作、语音控制内容、个人收视习惯信息等可被攻击者窃取或被恶意劫持。例如，某款产品在接收用户手机端APP发来的遥控控制请求时使用明文传输，导致内容可被中间人监听，拦截遥控器操作、语音控制。
　　存在大量未修复漏洞，安全防护缺失。通过对被测智能电视的操作系统进行漏洞扫描和人工排查发现，部分智能电视的操作系统存在大量未修复的高危漏洞，部分产品甚至存在可被利用的高危漏洞，如脏牛漏洞（CVE-2016-5195）、蓝牙漏洞（CVE-2017-0785）等，攻击者可利用已知漏洞，获得系统提权，并可对系统进行破坏或窃取用户账户信息等。
　　可远程静默安装任意第三方应用。系统默认允许安装任意来源的第三方应用，结合ADB命令和越权漏洞，攻击者可通过第三方浏览器下载或利用暗码打开U盘，安装任意未经验证来源的应用，其中可能包含木马病毒等恶意应用。
　　各类应用未进行加固，安全防护缺失。对被测设备上APP、控制APP进行分析后，发现大部分应用未进行过安全加固，也无防重打包和代码注入的能力。黑客能够通过反编译，在程序中植入木马、恶意代码及广告等，并可对其重新编译二次打包，重新打包后程序依然可正常运行。被恶意篡改后的程序可能造成用户隐私泄露、资金窃取等风险。
　　语音控制模块存安全隐患。部分产品的语音控制模块存在高危安全漏洞问题。例如某设备内置某电视助手就存在静默安装、截屏模拟按键等敏感操作的代码逻辑。由于该应用敏感权限管控不严格，这些操作同时可被其他应用越权调用，造成更大危害，如在用户不知情的情况下被安装未知的应用或被截图等。
　　搭载系统版本低，回滚机制增加安全隐患。Android版本的提升，其安全手段与漏洞缓解措施也在逐次加固。版本越新的安卓系统，其安全防护手段越强，系统漏洞利用的难度也越大。目前智能电视搭载的系统版本普遍较低，集中在Android4.4、Android5.X和Android6.0；其中Android5.X占比最高，达75%。另外部分设备还存在版本回滚的问题。
　　与会专家认为，智能电视系统安全涉及智能电视终端设备安全、家庭网关或路由器安全、云端服务安全、云端应用接口安全、移动智能电视安全、移动智能电视应用软件安全、通信链路安全等一系列问题，因此要从硬件、固件、无线通信安全能力、应用层安全能力、外围接口安全能力等方方面面探讨解决方案。