У сенатора Міннесоти Аль Франкена є кілька запитань щодо вашої конфіденційності та сканера відбитків пальців на Galaxy S5, і він надіслав лист Samsung, щоб отримати відповіді. Ми бачили, що Франкен робив те ж саме в минулому році, коли iPhone 5S дебютував за допомогою технології сканування відбитків пальців, тому ми не можемо сказати, що ми здивовані.
Відбитки пальців - протилежні таємниці. Ви залишаєте їх на незліченних предметах, яких ви торкаєтесь протягом дня: двері автомобіля, склянку води, навіть екран вашого смартфона. І на відміну від паролів, відбитки пальців неможливо змінити. Якщо хакери отримають цифрову копію вашого відбитка пальців, вони можуть використовувати її, щоб представити себе за все ваше життя, особливо, коли все більше технологій починають покладатися на автентифікацію відбитків пальців. - сенатор Франкен
Сенатор Франкен визнає, що Samsung вжила заходів щодо збереження приватних даних користувачів під час використання сканера відбитків пальців, але він вирішує питання щодо злому, а також те, що Samsung планує робити з будь-якими даними, які вони можуть отримати.
Взагалі, Франкен насправді виконує свою роботу і шукає своїх обранців. Далі йде стенограма листа.
Джерело: сенатор Аль Франкен
13 травня 2014 року
Д-р О-Х’юн Квон, генеральний директор Samsung Electronics Co., Ltd. Головна будівля Samsung 250, Taepyeongno 2-ga, Юнг-гу Сеул, 100-742, Корея
Містер Грегорі Лі, генеральний директор Samsung Electronics Північна Америка 85 Challenger Road Ridgefield Park, NJ 07660
Шановні доктор Кван та містер Лі:
Надішліть вам запитання щодо захисту конфіденційності для технології сканування відбитків пальців на смартфоні Samsung Galaxy S5, яка нещодавно надійшла в продаж. Мене хвилюють повідомлення про те, що сканер відбитків пальців Samsung може виявитися не настільки безпечним, як може здатися, і що ці прогалини в безпеці можуть створити більш широкі проблеми з безпекою на смартфоні S5. Я пишу, щоб запитати інформацію про те, як Samsung вирішує ці та інші питання конфіденційності щодо свого сканера відбитків пальців.
Переваги безпеки технології відбитків пальців не такі очевидні, як багато хто очікував би. З одного боку, пальцем простіше провести пальцем, ніж натиснути складний пароль. Таким чином, зручність сканера відбитків пальців може призвести до того, що більше власників смартфонів фактично заблокують свої телефони. З іншого боку, сканери відбитків пальців викликають гострі проблеми із безпекою, які не мають паролі, особливо коли вони використовуються замість того, а не як перевірка пароля. Як я пояснював у попередньому листі Apple щодо розгортання сканера відбитків пальців Touch ID, паролі є секретними та динамічними, тоді як відбитки пальців є загальнодоступними та постійними. Якщо ви не скажете нікому свій пароль, ніхто його не дізнається. Якщо він зламається, ви можете змінити його через хвилину-дві.
Відбитки пальців - протилежні таємниці. Ви залишаєте їх на незліченних предметах, яких ви торкаєтесь протягом дня: двері автомобіля, склянку води, навіть екран вашого смартфона. І на відміну від паролів, відбитки пальців неможливо змінити. Якщо хакери отримають цифрову копію вашого відбитка пальців, вони можуть використовувати її, щоб представити себе за все ваше життя, особливо, коли все більше технологій починають покладатися на автентифікацію відбитків пальців.
Як і Apple Touch Touch ID, сканер відбитків пальців Galaxy S5 був зламаний через кілька днів після виходу смартфона. Дослідники безпеки обійшли обидва сканери, створивши фальшивий відбиток гуми з відбитка пальця, піднятого з екрану смартфона.
Початкові звіти також дозволяють припустити, що Galaxy S5 може викликати занепокоєння щодо безпеки, ніж Touch ID. Сканер відбитків пальців Galaxy S5, як повідомляється, дозволяє здійснювати необмежену кількість спроб аутентифікації без введення пароля, тоді як для Touch ID Apple потрібен пароль лише після п'яти невдалих спроб. Крім того, хоча Touch ID можна використовувати лише для розблокування пристрою та доступу до певних ретельно відстежених додатків Apple, Galaxy S5, як видається, дозволяє будь-якій програмі використовувати сканер відбитків пальців замість пароля. Це означає, що ви можете використовувати сканер відбитків пальців Galaxy S5 для пересилання грошей на PayPal і доступу до програми пароля; на жаль, це, ймовірно, означає, що погані актори, які підробляють ваші відбитки пальців, теж можуть це зробити. Цей більш широкий доступ до сканера потенційно може дозволити третім особам отримати доступ до чутливої інформації, що генерується технологією.
Я з повагою прошу Samsung надати відповіді на наступні питання. Усі, окрім першого, майже однакові з питаннями, які я поставив Apple минулого року.
(1) Як саме Samsung захищає дані відбитків пальців, згенеровані сканером відбитків пальців Galaxy S5?
(2) Чи можливо перетворити локально збережені дані відбитків пальців у цифровий чи візуальний формат, який можуть бути використані третіми сторонами?
(3) Чи можна витягти та отримати дані відбитків пальців із Galaxy S5? Якщо так, то чи можна це зробити віддалено або з фізичним доступом до пристрою?
(4) Чи будуть резервні копії даних відбитків пальців на комп'ютері користувача? Чи будуть резервні копії даних в хмарі чи на серверах Samsung?
(5) Чи передає Galaxy S5 будь-яку діагностичну інформацію про систему сканування відбитків пальців на Samsung або будь-яку іншу сторону? Якщо так, то яка інформація передається?
(6) Як саме програми Samsung та сторонні програми взаємодіють зі сканером відбитків пальців? Яку інформацію збирають ці програми із системи сканування відбитків пальців, а яку інформацію збирає Samsung, пов’язану з цими взаємодіями, включаючи ідентифікатори чи хеші, пов’язані з даними відбитків пальців?
(7) Які майбутні плани Samsung щодо технології сканування відбитків пальців? Чи буде він розгортати цю технологію на своїх планшетних пристроях, як свідчать новини?
(8) Чи може компанія Samsung запевнити своїх користувачів, що ніколи не поділиться даними про їхні відбитки разом з інструментами чи іншою інформацією, необхідною для вилучення або маніпулювання даними відбитків Galaxy S5, з будь-якою комерційною третьою стороною?
(9) Чи може компанія Samsung запевнити своїх користувачів, що ніколи не поділиться даними відбитків пальців, а також інструментами чи іншою інформацією, необхідною для вилучення або маніпулювання даними відбитків пальців Galaxy S5, у будь-якого уряду, відсутній у відповідних юридичних повноваженнях та процедурах?
(10) Відповідно до американського закону про конфіденційність, правоохоронні органи не можуть змусити компанії розкривати "вміст" повідомлень без ордера, і компанії не можуть ділитися цією інформацією з третіми сторонами без згоди клієнта. Однак "запис або інша інформація, що стосується абонента … або замовника", може бути вільно розкрита будь-якій третій стороні без згоди замовника, і може бути розголошена правоохоронним органам після видачі судового наказу про невірогідну причину. Крім того, "номер або особу абонента" може бути розголошено уряду простою повісткою. Див. Загалом 18 USC § 2702-2703.
Чи Samsung вважає дані відбитків пальцями "вмістом" повідомлень, записів клієнтів чи абонентів, або "номером або особою абонента", як визначено в Законі про збережені комунікації?
(11) Відповідно до американського закону про розвідку, Федеральне бюро розслідувань може вимагати наказу, що вимагає виготовлення "будь-якої матеріальної речі (включаючи книги, записи, папери, документи та інші предмети)", якщо вони будуть визнані відповідними для певних розслідувань зовнішньої розвідки. Див. 50 USC § 1861.
Чи вважає Samsung дані про відбитки пальців «відчутними речами», як це визначено в законі США про PATRIOT?
(12) Відповідно до американського законодавства про розвідку, Федеральне бюро розслідувань може в односторонньому порядку видати Лист національної безпеки, який змушує провайдерів телекомунікацій розкривати "інформацію про абонентів" або "записи трансакцій електронних комунікацій під їх зберіганням або володінням". Листи національної безпеки, як правило, містять критерій замовлення, тобто одержувачі не можуть розголосити, що вони отримали лист. Див., Наприклад, 18 USC § 2709.
Чи розглядає Samsung дані про відбитки пальців як "інформацію про абонентів" або "записи електронних транзакцій зв'язку", як це визначено Законом про збережені комунікації?
(13) Чи вважає Samsung, що користувачі мають розумне очікування конфіденційності даних про відбитки пальців, які вони надають сканеру відбитків?
Я не намагаюся перешкоджати застосуванню технології відбитків пальців для мобільних пристроїв споживачів. Якщо прийняти із суворими гарантіями, ця технологія може виявитись зручною та корисною. Швидше, моя мета полягає в тому, щоб закликати компанії застосовувати цю технологію найбільш безпечним способом - і створити публічну інформацію про те, як компанії обробляють чутливу біометричну інформацію.
Дякую за ваш час та увагу до цих питань. Я прошу Samsung відповісти на них протягом місяця з моменту отримання цього листа.
