Senatorul Al Franken din Minnesota are câteva întrebări despre confidențialitatea dvs. și scanerul de amprente de pe Galaxy S5 și a trimis o scrisoare către Samsung pentru a obține răspunsuri. Am văzut că Franken face același lucru anul trecut, când iPhone 5S a debutat cu tehnologia de scanare a amprentelor, deci nu putem spune că suntem surprinși.
Amprentele sunt opuse secretului. Le lași pe nenumărate obiecte pe care le atingi pe parcursul zilei: ușa mașinii tale, un pahar cu apă, chiar ecranul smartphone-ului tău. Și spre deosebire de parole, amprentele nu pot fi schimbate. Dacă hackerii pun mâna pe o copie digitală a amprentei dvs., ar putea să o folosească pentru a vă răspunde pentru tot restul vieții, mai ales că tot mai multe tehnologii încep să se bazeze pe autentificarea amprentei digitale. - Senator Franken
Senatorul Franken recunoaște că Samsung a făcut măsuri pentru a păstra datele private ale utilizatorilor atunci când utilizează scanerul de amprente, dar abordează îngrijorările cu privire la hacking și ce intenționează să facă Samsung cu orice date pe care le pot obține.
În general, Franken își face de fapt treaba și își caută reprezentanții. Urmează transcrierea scrisorii.
Sursa: senatorul Al Franken
13 mai 2014
Dr. Oh-Hyun Kwon, CEO Samsung Electronics Co., Ltd. Samsung Main Building 250, Taepyeongno 2-ga, Jung-gu Seul, 100-742, Coreea
Domnul Gregory Lee, CEO Samsung Electronics America de Nord 85 Challenger Road Ridgefield Park, NJ 07660
Dragi Dr. Kwon și domnul Lee:
Scriu să vă întreb despre protecția vieții private pentru tehnologia de scanare a amprentelor de pe smartphone-ul Samsung Galaxy S5, care a fost lansat recent. Mă preocupă rapoartele că scannerul de amprente Samsung nu poate fi atât de sigur pe cât ar părea - și că aceste lacune de securitate pot crea probleme de securitate mai largi pe smartphone-ul S5. Scriu pentru a solicita informații despre modul în care Samsung abordează aceste și alte întrebări de confidențialitate despre scanerul său de amprente.
Beneficiile de securitate ale tehnologiei de amprentă nu sunt atât de clare pe cât se așteaptă mulți. Pe de o parte, este mai ușor să glisați degetul decât să redactați o parolă complexă. Astfel, comoditatea scanerului de amprente poate duce la blocarea de fapt a mai multor proprietari de smartphone-uri. Pe de altă parte, scanerele de amprentă ridică probleme acute de securitate pe care parolele nu le au - în special atunci când sunt utilizate în loc de în loc de verificarea parolelor. Așa cum am explicat într-o scrisoare anterioară către Apple cu privire la lansarea scanerului de amprentă Touch ID, parolele sunt secrete și dinamice, în timp ce amprentele sunt publice și permanente. Dacă nu spuneți nimănui parola dvs., nimeni nu o va ști. Dacă este hacked, îl puteți schimba într-un minut sau două.
Amprentele sunt opuse secretului. Le lași pe nenumărate obiecte pe care le atingi pe parcursul zilei: ușa mașinii tale, un pahar cu apă, chiar ecranul smartphone-ului tău. Și spre deosebire de parole, amprentele nu pot fi schimbate. Dacă hackerii pun mâna pe o copie digitală a amprentei dvs., ar putea să o folosească pentru a vă răspunde pentru tot restul vieții, mai ales că tot mai multe tehnologii încep să se bazeze pe autentificarea amprentei digitale.
Ca și ID-ul Apple Touch, scanerul de amprente Galaxy Galaxy S5 a fost piratat la câteva zile după lansarea smartphone-ului. Cercetătorii de securitate au ocolit ambele scanere creând o imprimare falsă din cauciuc dintr-o amprentă ridicată de pe ecranul unui smartphone.
Rapoartele inițiale sugerează, de asemenea, că Galaxy S5 poate ridica probleme de securitate pe care Touch ID nu le are. Se pare că scanerul de amprente Galaxy S5 permite încercări de autentificare nelimitate fără o parolă, în timp ce ID-ul Apple Touch necesită o parolă după numai cinci încercări eșuate. În plus, în timp ce Touch ID poate fi utilizat doar pentru a debloca un dispozitiv și pentru a accesa anumite aplicații Apple monitorizate strict, Galaxy S5 pare să permită oricărei aplicații să utilizeze scanerul de amprente în loc de parolă. Aceasta înseamnă că puteți utiliza scanerul de amprente Galaxy Galaxy S5 pentru a trimite bani pe PayPal și pentru a accesa aplicația dvs. de parolă; din păcate, probabil înseamnă că și actorii răi care îți strică amprentele pot face asta. Acest acces mai larg la scaner ar putea permite terților să acceseze informații sensibile generate de tehnologie.
Solicit respectuos ca Samsung să ofere răspunsuri la următoarele întrebări. Toate, dar primele sunt aproape identice cu întrebările pe care i le-am adresat Apple anul trecut.
(1) Cât de exact Samsung securizează datele de amprentă generate de scanerul de amprentă al Galaxy S5?
(2) Este posibil să se transforme datele de amprentă stocate local într-un format digital sau vizual care poate fi utilizat de către terți?
(3) Este posibil să extrageți și să obțineți date despre amprente digitale de la un Galaxy S5? Dacă da, se poate face acest lucru de la distanță sau cu acces fizic la dispozitiv?
(4) Datele privind amprentele digitale vor fi salvate la computerul unui utilizator? Datele de amprentă vor fi salvate pe cloud sau pe serverele Samsung?
(5) Galaxy S5 transmite informații de diagnostic despre sistemul scanerului de amprente către Samsung sau oricărei alte părți? Dacă da, ce informații sunt transmise?
(6) Cum interacționează exact aplicațiile Samsung și aplicațiile terțe cu scanerul de amprente? Ce informații sunt colectate de acele aplicații din sistemul de scanare a amprentelor digitale și ce informații sunt colectate de Samsung asociate cu respectivele interacțiuni, inclusiv identificatori sau hașe legate de datele de amprentă?
(7) Care sunt planurile de viitor ale Samsung pentru tehnologia de scanare a amprentelor? Va implementa tehnologia pe dispozitivele tabletă, așa cum sugerează rapoartele de știri?
(8) Samsung își poate asigura utilizatorii că nu va împărtăși niciodată datele despre amprentă, împreună cu instrumentele sau alte informații necesare pentru a extrage sau manipula datele despre amprentele Galaxy S5, cu vreun terț comercial?
(9) Poate Samsung să-și asigure utilizatorii că nu va împărtăși niciodată datele despre amprentele lor, împreună cu instrumentele sau alte informații necesare pentru extragerea sau manipularea datelor despre amprentele Galaxy S5, cu vreun guvern, absența autorității și procesului legal adecvat?
(10) În conformitate cu legislația americană privind confidențialitatea, agențiile de aplicare a legii nu pot obliga companiile să dezvăluie „conținutul” comunicărilor fără un mandat, iar companiile nu pot împărtăși aceste informații cu terțe părți fără consimțământul clienților. Cu toate acestea, „înregistrarea sau alte informații referitoare la un abonat … sau la un client” pot fi dezvăluite în mod liber oricărui terț fără consimțământul clientului și pot fi dezvăluite forțelor de ordine la emiterea unei hotărâri judecătorești care nu este probabilă. Mai mult, un „număr de abonat sau identitate” poate fi dezvăluit guvernului cu o simplă citație. A se vedea, în general, 18 USC § 2702-2703.
Samsung consideră că datele despre amprentele digitale sunt „conținutul” comunicațiilor, înregistrările clienților sau abonaților sau un „număr sau identitate de abonat”, așa cum sunt definite în Legea comunicărilor stocate?
(11) În conformitate cu legea americană a informațiilor, Biroul Federal de Investigații poate solicita un ordin care necesită producerea de „orice lucru tangibil (inclusiv cărți, înregistrări, acte, documente și alte articole)”, dacă sunt considerate relevante pentru anumite investigații de informații străine.. Vezi 50 USC § 1861.
Samsung consideră că datele despre amprentele digitale sunt „lucruri tangibile”, așa cum sunt definite în SUA PATRIOT Act?
(12) În conformitate cu legea americană a informațiilor, Biroul Federal de Investigații poate emite unilateral o scrisoare de securitate națională care obligă furnizorii de telecomunicații să dezvăluie „informații pentru abonați” sau „înregistrări tranzacționale de comunicații electronice aflate în custodia sau în posesia sa. Scrisorile de securitate națională conțin, de obicei, o comandă gag, ceea ce înseamnă că destinatarii nu pot dezvălui că au primit scrisoarea. A se vedea, de exemplu, 18 USC § 2709.
Samsung consideră că datele despre amprentele digitale sunt „informații pentru abonați” sau „înregistrări tranzacționale de comunicații electronice”, așa cum sunt definite în Legea comunicărilor stocate?
(13) Samsung crede că utilizatorii au o așteptare rezonabilă de confidențialitate în datele de amprentă pe care le furnizează scanerului de amprente?
Nu încerc să descurajez adoptarea tehnologiei de amprentă pentru dispozitivele mobile de consum. Dacă este adoptată cu garanții puternice, această tehnologie s-ar putea dovedi convenabilă și benefică. Mai degrabă, obiectivul meu este să îndemn companiile să implementeze această tehnologie în cel mai sigur mod rezonabil - și să creeze un record public în jurul modului în care companiile tratează informații biometrice sensibile.
Vă mulțumim pentru timpul acordat și atenție pentru aceste întrebări. Cer să le răspundă Samsung în termen de o lună de la primirea acestei scrisori.
