Minnesota Senator Al Franken ma kilka pytań na temat twojej prywatności i skanera linii papilarnych w Galaxy S5 i wysłał list do Samsunga, aby uzyskać odpowiedzi. Widzieliśmy, jak Franken robi to samo w zeszłym roku, kiedy iPhone 5S zadebiutował z technologią skanowania odcisków palców, więc nie możemy powiedzieć, że jesteśmy zaskoczeni.
Odciski palców są przeciwieństwem tajemnicy. Zostawiasz je na niezliczonych przedmiotach, które dotykasz w ciągu dnia: drzwi samochodu, szklanka wody, a nawet ekran smartfona. W przeciwieństwie do haseł, odcisków palców nie można zmienić. Jeśli hakerzy zdobędą cyfrową kopię Twojego odcisku palca, mogą go użyć do podszywania się pod Ciebie przez resztę życia, szczególnie gdy coraz więcej technologii zaczyna polegać na uwierzytelnianiu odcisków palców. - Senator Franken
Senator Franken przyznaje, że Samsung podjął kroki, aby zachować prywatność danych użytkownika, gdy korzystają ze skanera linii papilarnych, ale odpowiada na obawy związane z hakowaniem i tym, co Samsung zamierza zrobić z wszelkimi danymi, które mogą zdobyć.
Ogólnie rzecz biorąc, Franken wykonuje swoją pracę i wypatruje swoich wyborców. Zapis listu następuje.
Źródło: Senator Al Franken
13 maja 2014 r
Dr. Oh-Hyun Kwon, CEO Samsung Electronics Co., Ltd. Samsung Main Building 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Korea
Pan Gregory Lee, dyrektor generalny Samsung Electronics North America 85 Challenger Road Ridgefield Park, NJ 07660
Drodzy dr Kwon i pan Lee:
Piszę, aby zapytać o ochronę prywatności technologii skanowania odcisków palców w smartfonie Samsung Galaxy S5, który niedawno trafił do sprzedaży. Niepokoją mnie doniesienia, że skaner linii papilarnych Samsunga może nie być tak bezpieczny, jak mogłoby się wydawać - i że luki w zabezpieczeniach mogą powodować szersze problemy bezpieczeństwa w smartfonie S5. Piszę, aby poprosić o informacje na temat tego, w jaki sposób Samsung reaguje na te i inne pytania dotyczące prywatności dotyczące skanera linii papilarnych.
Korzyści bezpieczeństwa wynikające z technologii odcisków palców nie są tak wyraźne, jak wielu mogłoby się spodziewać. Z jednej strony łatwiej jest przesunąć palcem niż wykasować złożone hasło. Zatem wygoda skanera linii papilarnych może spowodować, że więcej właścicieli smartfonów faktycznie zablokuje swoje telefony. Z drugiej strony skanery linii papilarnych stwarzają poważne problemy z bezpieczeństwem, których nie mają hasła - szczególnie wtedy, gdy są one używane zamiast zamiast weryfikacji hasła. Jak wyjaśniłem we wcześniejszym liście do Apple dotyczącym ich wdrożenia czytnika linii papilarnych Touch ID, hasła są tajne i dynamiczne, a odciski palców są publiczne i trwałe. Jeśli nie powiesz nikomu swojego hasła, nikt go nie pozna. Jeśli zostanie zhakowany, możesz go zmienić za minutę lub dwie.
Odciski palców są przeciwieństwem tajemnicy. Zostawiasz je na niezliczonych przedmiotach, które dotykasz w ciągu dnia: drzwi samochodu, szklanka wody, a nawet ekran smartfona. W przeciwieństwie do haseł, odcisków palców nie można zmienić. Jeśli hakerzy zdobędą cyfrową kopię Twojego odcisku palca, mogą go użyć do podszywania się pod Ciebie przez resztę życia, szczególnie gdy coraz więcej technologii zaczyna polegać na uwierzytelnianiu odcisków palców.
Podobnie jak Touch ID Apple, skaner linii papilarnych Galaxy S5 został zhakowany kilka dni po premierze smartfona. Badacze bezpieczeństwa omijali oba skanery, tworząc fałszywy gumowy odcisk z odcisku palca zdjętego z ekranu smartfona.
Wstępne raporty sugerują również, że Galaxy S5 może budzić obawy dotyczące bezpieczeństwa, których nie robi Touch ID. Skaner linii papilarnych Galaxy S5 podobno pozwala na nieograniczoną liczbę prób uwierzytelnienia bez pytania o hasło, natomiast Apple Touch ID wymaga hasła po zaledwie pięciu nieudanych próbach. Ponadto, chociaż Touch ID może być używany tylko do odblokowywania urządzenia i uzyskiwania dostępu do ściśle monitorowanych aplikacji Apple, Galaxy S5 wydaje się pozwalać dowolnej aplikacji na używanie skanera linii papilarnych zamiast hasła. Oznacza to, że możesz używać skanera linii papilarnych Galaxy S5 do wysyłania pieniędzy w systemie PayPal i uzyskiwania dostępu do aplikacji hasła; niestety, prawdopodobnie oznacza to, że źli aktorzy, którzy sfałszują twoje odciski palców, również mogą to zrobić. Ten szerszy dostęp do skanera może potencjalnie umożliwić stronom trzecim dostęp do poufnych informacji generowanych przez technologię.
Z szacunkiem proszę Samsung o udzielenie odpowiedzi na następujące pytania. Wszystkie oprócz pierwszego są prawie identyczne z pytaniami, które zadałem Apple w zeszłym roku.
(1) Jak dokładnie Samsung zabezpiecza dane odcisków palców generowane przez skaner odcisków palców w Galaxy S5?
(2) Czy można konwertować lokalnie przechowywane dane daktyloskopijne na format cyfrowy lub wizualny, z którego mogą korzystać osoby trzecie?
(3) Czy można wyodrębnić i uzyskać dane odcisków palców z Galaxy S5? Jeśli tak, czy można to zrobić zdalnie lub z fizycznym dostępem do urządzenia?
(4) Czy dane linii papilarnych zostaną zapisane na komputerze użytkownika? Czy dane linii papilarnych zostaną zapisane w chmurze lub na serwerach Samsung?
(5) Czy Galaxy S5 przesyła jakieś informacje diagnostyczne dotyczące systemu skanera linii papilarnych do Samsunga lub innej strony? Jeśli tak, jakie informacje są przekazywane?
(6) Jak dokładnie aplikacje Samsung i aplikacje innych firm współdziałają ze skanerem linii papilarnych? Jakie informacje są zbierane przez te aplikacje z systemu skanera odcisków palców i jakie informacje są zbierane przez Samsung związane z tymi interakcjami, w tym identyfikatory lub skróty związane z danymi odcisków palców?
(7) Jakie są przyszłe plany Samsunga dotyczące technologii skanowania odcisków palców? Czy wdroży tę technologię na swoich tabletach, jak sugerują doniesienia prasowe?
(8) Czy Samsung może zapewnić swoich użytkowników, że nigdy nie udostępni danych dotyczących odcisków palców wraz z narzędziami lub innymi informacjami niezbędnymi do wyodrębnienia lub manipulowania danymi odcisków palców Galaxy S5 żadnym komercyjnym podmiotom zewnętrznym?
(9) Czy Samsung może zapewnić swoich użytkowników, że nigdy nie udostępni danych dotyczących odcisków palców wraz z narzędziami lub innymi informacjami niezbędnymi do wyodrębnienia lub manipulowania danymi odcisków palców Galaxy S5, jakiemukolwiek rządowi, bez odpowiedniego organu prawnego i procesu?
(10) Zgodnie z amerykańskim prawem dotyczącym prywatności organy ścigania nie mogą zmusić firm do ujawnienia „treści” komunikacji bez nakazu, a firmy nie mogą udostępniać tych informacji stronom trzecim bez zgody klienta. Jednak „zapis lub inne informacje dotyczące subskrybenta … lub klienta” mogą być swobodnie ujawniane jakiejkolwiek stronie trzeciej bez zgody klienta i mogą być ujawniane organom ścigania po wydaniu orzeczenia sądowego o mało prawdopodobnej przyczynie. Ponadto „numer subskrybenta lub tożsamość” można ujawnić rządowi za pomocą prostego wezwania. Patrz ogólnie 18 USC § 2702-2703.
Czy Samsung uważa dane daktyloskopijne za „treść” korespondencji, zapisy klientów lub subskrybentów lub „numer abonenta lub tożsamość” zgodnie z definicją zawartą w zapisanej ustawie o komunikacji?
(11) Zgodnie z amerykańskim prawem wywiadowczym Federalne Biuro Śledcze może ubiegać się o wydanie nakazu przedstawienia „wszelkich rzeczy materialnych (w tym książek, rejestrów, dokumentów, dokumentów i innych przedmiotów)”, jeżeli zostaną one uznane za istotne w przypadku niektórych dochodzeń wywiadu zagranicznego. Zobacz 50 USC § 1861.
Czy Samsung uważa dane odcisków palców za „rzeczy materialne” zgodnie z definicją w amerykańskiej ustawie PATRIOT Act?
(12) Zgodnie z amerykańskim prawem wywiadowczym Federalne Biuro Śledcze może jednostronnie wydać list bezpieczeństwa narodowego, który zobowiązuje dostawców usług telekomunikacyjnych do ujawnienia „informacji o subskrybentach” lub „dokumentacji transakcji elektronicznych będących w ich posiadaniu lub posiadaniu”. Listy bezpieczeństwa narodowego zazwyczaj zawierają rozkaz kneblowania, co oznacza, że odbiorcy nie mogą ujawnić, że otrzymali list. Patrz np. 18 USC § 2709.
Czy Samsung uważa dane odcisków palców za „informacje o subskrybentach” lub „zapisy transakcyjne dotyczące komunikacji elektronicznej” zgodnie z definicją w ustawie o przechowywanej komunikacji?
(13) Czy Samsung uważa, że użytkownicy mają uzasadnione oczekiwania dotyczące prywatności danych odcisków palców przekazywanych do skanera odcisków palców?
Nie próbuję zniechęcać do wdrażania technologii odcisków palców na urządzeniach mobilnych. Jeśli zostanie przyjęta z silnymi zabezpieczeniami, technologia ta może okazać się wygodna i korzystna. Moim celem jest raczej nakłonienie firm do wdrożenia tej technologii w najbardziej bezpieczny i rozsądny sposób - i stworzenie publicznego zapisu na temat tego, jak firmy traktują wrażliwe informacje biometryczne.
Dziękujemy za poświęcony czas i uwagę na te pytania. Proszę, aby Samsung odpowiedział na nie w ciągu miesiąca od otrzymania tego listu.
