Minnesota Senator Al Franken má niekoľko otázok týkajúcich sa vášho súkromia a skenera odtlačkov prstov na Galaxy S5 a poslal list spoločnosti Samsung, aby získal niekoľko odpovedí. Franken sme videli to isté minulý rok, keď iPhone 5S debutoval technológiou skenovania odtlačkov prstov, takže nemôžeme povedať, že sme prekvapení.
Odtlačky prstov sú opakom tajomstva. Necháte ich na nespočetných predmetoch, ktorých sa deň dotýkate: dvere vášho auta, pohár vody, dokonca aj obrazovka smartfónu. Na rozdiel od hesiel nie je možné meniť odtlačky prstov. Ak hackeri získajú digitálnu kópiu vášho odtlačku prsta, mohli by ho použiť na odcudzenie identity po zvyšok svojho života, najmä keď sa čoraz viac technológií začne spoliehať na overovanie odtlačkov prstov. - senátor Franken
Senátor Franken uznáva, že spoločnosť Samsung podnikla kroky na ochranu súkromných údajov používateľov, keď používajú skener odtlačkov prstov, ale rieši obavy týkajúce sa hackerstva a toho, čo spoločnosť Samsung plánuje robiť s akýmikoľvek údajmi, ktoré môžu získať.
Franken vo všeobecnosti robí svoju prácu a hľadá svojich voličov. Nasleduje prepis listu.
Zdroj: senátor Al Franken
13. mája 2014
Oh-Hyun Kwon, generálny riaditeľ spoločnosti Samsung Electronics Co., Ltd. Hlavná budova Samsung 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Kórea
Gregory Lee, generálny riaditeľ spoločnosti Samsung Electronics North America 85, Challenger Road Ridgefield Park, NJ 07660
Vážení Dr. Kwon a pán Lee:
Píšem vám, aby som sa vás opýtal na ochranu súkromia pre technológiu skenovania odtlačkov prstov na telefóne Samsung Galaxy S5, ktorý bol nedávno uvedený do predaja. Znepokojujú ma správy, že skener odtlačkov prstov spoločnosti Samsung nemusí byť taký bezpečný, ako sa môže zdať - a že tieto bezpečnostné medzery môžu v smartfóne S5 spôsobiť väčšie bezpečnostné problémy. Píšem o žiadosť o informácie o tom, ako spoločnosť Samsung rieši tieto a ďalšie otázky týkajúce sa ochrany súkromia týkajúce sa skenera odtlačkov prstov.
Bezpečnostné výhody technológie odtlačkov prstov nie sú také jasné, ako by mnohí očakávali. Na jednej strane je ľahšie posúvať prst ako vyťukať zložité heslo. Pohodlie skenera odtlačkov prstov môže mať za následok, že viac majiteľov smartfónov skutočne uzamkne svoje telefóny. Na druhej strane skenery odtlačkov prstov spôsobujú akútne bezpečnostné problémy, ktoré heslá nezvládajú - najmä ak sa používajú namiesto overovania heslom, nie namiesto neho. Ako som už v predchádzajúcom liste spoločnosti Apple vysvetlil v súvislosti so zavedením svojho snímača odtlačkov prstov Touch ID, heslá sú tajné a dynamické, zatiaľ čo odtlačky prstov sú verejné a trvalé. Ak nikomu nepoviete svoje heslo, nikto to nebude vedieť. Ak dôjde k jeho napadnutiu, môžete to zmeniť o minútu alebo dve.
Odtlačky prstov sú opakom tajomstva. Necháte ich na nespočetných predmetoch, ktorých sa deň dotýkate: dvere vášho auta, pohár vody, dokonca aj obrazovka smartfónu. Na rozdiel od hesiel nie je možné meniť odtlačky prstov. Ak hackeri získajú digitálnu kópiu vášho odtlačku prsta, mohli by ho použiť na odcudzenie identity po zvyšok svojho života, najmä keď sa čoraz viac technológií začne spoliehať na overovanie odtlačkov prstov.
Rovnako ako Apple Touch ID, skener odtlačkov prstov Galaxy S5 bol napadnutý niekoľko dní po prepustení smartfónu. Výskumníci v oblasti bezpečnosti obišli oba skenery vytvorením falošnej gumovej tlače z odtlačku prsta zdvihnutého z obrazovky smartfónu.
Úvodné správy tiež naznačujú, že Galaxy S5 môže vyvolať obavy o bezpečnosť, ktoré Touch ID nie. Snímač odtlačkov prstov Galaxy S5 údajne umožňuje neobmedzené pokusy o overenie bez výzvy na zadanie hesla, zatiaľ čo dotykový identifikátor Apple vyžaduje heslo iba po piatich neúspešných pokusoch. Navyše, zatiaľ čo Touch ID možno použiť iba na odomknutie zariadenia a na prístup k prísne monitorovaným aplikáciám Apple, zdá sa, že Galaxy S5 umožňuje akejkoľvek aplikácii používať namiesto snímača odtlačkov prstov ľubovoľnú aplikáciu. To znamená, že môžete použiť snímač odtlačkov prstov Galaxy S5 na odosielanie peňazí na PayPal a prístup do svojej aplikácie na zadávanie hesiel; Bohužiaľ to pravdepodobne znamená, že to môžu urobiť aj zlí herci, ktorí podvádzajú vaše odtlačky prstov. Tento širší prístup k skeneru by mohol potenciálne umožniť tretím stranám prístup k citlivým informáciám generovaným technológiou.
S úctou žiadam, aby spoločnosť Samsung poskytla odpovede na nasledujúce otázky. Až na prvé, sú takmer totožné s otázkami, ktoré som spoločnosti Apple položil minulý rok.
(1) Ako presne spoločnosť Samsung zaisťuje údaje o odtlačkoch prstov generované skenerom odtlačkov prstov Galaxy S5?
(2) Je možné prevádzať lokálne uložené údaje o odtlačkoch prstov do digitálneho alebo vizuálneho formátu, ktorý môžu používať tretie strany?
(3) Je možné extrahovať a získať údaje o odtlačkoch prstov z Galaxy S5? Ak áno, je to možné vykonať na diaľku alebo fyzickým prístupom k zariadeniu?
(4) Budú sa údaje o odtlačkoch prstov zálohované v počítači používateľa? Budú sa údaje o odtlačkoch prstov zálohované do cloudu alebo na servery Samsung?
(5) Prenáša Galaxy S5 akékoľvek diagnostické informácie o systéme snímača odtlačkov prstov spoločnosti Samsung alebo inej strane? Ak áno, aké informácie sa prenášajú?
(6) Ako presne interagujú aplikácie Samsung a aplikácie tretích strán so skenerom odtlačkov prstov? Aké informácie zhromažďujú tieto aplikácie zo systému snímača odtlačkov prstov a aké informácie zhromažďuje spoločnosť Samsung spojené s týmito interakciami vrátane identifikátorov alebo hashov súvisiacich s údajmi o odtlačkoch prstov?
(7) Aké sú budúce plány spoločnosti Samsung na skenovanie odtlačkov prstov? Nasadí technológiu na svoje tabletové zariadenia, ako to naznačujú správy v správach?
(8) Môže spoločnosť Samsung ubezpečiť svojich používateľov, že nikdy nebude zdieľať svoje údaje o odtlačkoch prstov, spolu s nástrojmi alebo inými informáciami potrebnými na extrahovanie alebo manipuláciu s údajmi o odtlačkoch prstov Galaxy S5, s komerčnou treťou stranou?
(9) Môže spoločnosť Samsung ubezpečiť svojich používateľov, že nikdy nebude zdieľať svoje údaje o odtlačkoch prstov, spolu s nástrojmi alebo inými informáciami potrebnými na extrakciu alebo manipuláciu s údajmi o odtlačkoch prstov Galaxy S5, s akoukoľvek vládou, ak chýba príslušná právna právomoc a postup?
(10) Podľa amerického zákona o ochrane súkromia nemôžu orgány činné v trestnom konaní nútiť spoločnosti, aby zverejňovali „obsah“ komunikácií bez povolenia a spoločnosti nemôžu tieto informácie zdieľať s tretími stranami bez súhlasu zákazníka. „Záznam alebo iné informácie týkajúce sa predplatiteľa … alebo zákazníka“ sa však môžu voľne sprístupniť ktorejkoľvek tretej strane bez súhlasu zákazníka a môžu sa sprístupniť orgánom činným v trestnom konaní po vydaní súdneho príkazu bez pravdepodobnej príčiny. Okrem toho môže byť vláde oznámené „predplatiteľské číslo alebo totožnosť“ pomocou jednoduchého predvolania. Pozri všeobecne 18 USC, § 2702-2703.
Považuje spoločnosť Samsung údaje o odtlačkoch prstov za „obsah“ komunikácií, záznamov zákazníkov alebo predplatiteľov alebo „číslo predplatiteľa alebo totožnosť“, ako je definované v zákone o uloženej komunikácii?
(11) Podľa amerického spravodajského práva môže Federálny úrad pre vyšetrovanie požiadať o vydanie príkazu vyžadujúceho predloženie „akejkoľvek hmotnej veci (vrátane kníh, záznamov, dokladov, dokumentov a iných položiek)“, ak sa to považuje za relevantné pre určité zahraničné spravodajské vyšetrovania., Pozri 50 USC, § 1861.
Považuje spoločnosť Samsung údaje o odtlačkoch prstov za „hmatateľné veci“ v zmysle zákona USA PATRIOT Act?
(12) Podľa amerického spravodajského práva môže Federálny úrad pre vyšetrovanie jednostranne vydať list národnej bezpečnosti, ktorý núti poskytovateľov telekomunikačných služieb zverejňovať „informácie o účastníkovi“ alebo „záznamy o transakciách elektronickej komunikácie vo svojej úschove alebo držbe“. Listy o národnej bezpečnosti zvyčajne obsahujú poradie roubíkov, čo znamená, že príjemcovia nemôžu oznámiť, že list dostali. Pozri napr. 18 USC, § 2709.
Považuje spoločnosť Samsung údaje o odtlačkoch prstov za „informácie o predplatiteľovi“ alebo „záznamy o transakciách elektronickej komunikácie“, ako sú definované v zákone o uloženej komunikácii?
(13) Domnieva sa spoločnosť Samsung, že používatelia majú primerané očakávania o ochrane súkromia v údajoch o odtlačkoch prstov, ktoré poskytujú skeneru odtlačkov prstov?
Nesnažím sa odradiť od prijatia technológie odtlačkov prstov pre spotrebiteľské mobilné zariadenia. Ak sa táto technológia prijme so silnými zárukami, môže sa ukázať ako pohodlná a prospešná. Mojím cieľom je skôr naliehať na spoločnosti, aby nasadili túto technológiu najbezpečnejším spôsobom, ktorý je rozumný - a vytvorili verejný záznam o tom, ako spoločnosti zaobchádzajú s citlivými biometrickými informáciami.
Ďakujem vám za čas a pozornosť na tieto otázky. Žiadam spoločnosť Samsung, aby im odpovedala do jedného mesiaca od prijatia tohto listu.
