У сенатора Миннесоты Аль Франкена есть несколько вопросов о вашей конфиденциальности и сканере отпечатков пальцев на Galaxy S5, и он отправил письмо в Samsung, чтобы получить ответы на некоторые вопросы. Мы видели, как Франкен делал то же самое в прошлом году, когда iPhone 5S дебютировал с технологией сканирования отпечатков пальцев, поэтому нельзя сказать, что мы удивлены.
Отпечатки пальцев являются противоположностью секрета. Вы оставляете их на бесчисленных объектах, к которым вы прикасаетесь в течение дня: дверь вашей машины, стакан воды, даже экран вашего смартфона. И в отличие от паролей, отпечатки пальцев не могут быть изменены. Если хакеры завладеют цифровой копией вашего отпечатка пальца, они могут использовать ее, чтобы выдать себя за вас до конца вашей жизни, особенно когда все больше и больше технологий начинают полагаться на проверку подлинности по отпечатку пальца. - Сенатор Франкен
Сенатор Франкен признает, что Samsung предпринял шаги, чтобы сохранить конфиденциальность пользовательских данных, когда они используют сканер отпечатков пальцев, но он учитывает опасения по поводу взлома и того, что Samsung планирует делать с любыми данными, которые они могут получить.
В общем, Франкен фактически выполняет свою работу и присматривает за своими избирателями. Стенограмма письма следует.
Источник: сенатор Аль Франкен
13 мая 2014 г.
Д-р О-Хён Квон, генеральный директор Samsung Electronics Co., Ltd. Главное здание Samsung 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Корея
Г-н Грегори Ли, генеральный директор Samsung Electronics North America 85 Челленджер-Роуд, парк Риджфилд, Нью-Джерси 07660
Уважаемые доктор Квон и мистер Ли!
Я пишу, чтобы спросить вас о защите конфиденциальности для технологии сканирования отпечатков пальцев на смартфоне Samsung Galaxy S5, который недавно поступил в продажу. Я обеспокоен сообщениями о том, что сканер отпечатков пальцев Samsung может быть не таким безопасным, как может показаться, и что эти пробелы в безопасности могут создать более широкие проблемы безопасности на смартфоне S5. Я пишу, чтобы запросить информацию о том, как Samsung решает эти и другие вопросы о конфиденциальности своего сканера отпечатков пальцев.
Преимущества технологии защиты от отпечатков пальцев не так очевидны, как многие ожидают. С одной стороны, проще провести пальцем, чем вытащить сложный пароль. Таким образом, удобство сканера отпечатков пальцев может привести к тому, что больше владельцев смартфонов фактически заблокируют свои телефоны. С другой стороны, сканеры отпечатков пальцев вызывают серьезные проблемы с безопасностью, которых нет у паролей, особенно когда они используются вместо проверки пароля, а не в дополнение к ней. Как я объяснил в более раннем письме Apple об их развертывании сканера отпечатков пальцев Touch ID, пароли являются секретными и динамичными, а отпечатки пальцев - общедоступными и постоянными. Если вы никому не скажете свой пароль, никто не узнает его. Если он взломан, вы можете изменить его через минуту или две.
Отпечатки пальцев являются противоположностью секрета. Вы оставляете их на бесчисленных объектах, к которым вы прикасаетесь в течение дня: дверь вашей машины, стакан воды, даже экран вашего смартфона. И в отличие от паролей, отпечатки пальцев не могут быть изменены. Если хакеры завладеют цифровой копией вашего отпечатка пальца, они могут использовать ее, чтобы выдать себя за вас до конца вашей жизни, особенно когда все больше и больше технологий начинают полагаться на проверку подлинности по отпечатку пальца.
Как и Apple Touch ID, сканер отпечатков пальцев Galaxy S5 был взломан через несколько дней после выпуска смартфона. Исследователи безопасности обошли оба сканера, создав поддельный резиновый отпечаток с отпечатка пальца, снятого с экрана смартфона.
Первоначальные отчеты также предполагают, что Galaxy S5 может вызвать проблемы безопасности, что Touch ID не делает. Сообщается, что сканер отпечатков пальцев Galaxy S5 допускает неограниченные попытки аутентификации без запроса пароля, в то время как Touch ID от Apple требует пароль только после пяти неудачных попыток. Кроме того, хотя Touch ID можно использовать только для разблокировки устройства и для доступа к определенным приложениям Apple, которые тщательно контролируются, Galaxy S5 позволяет любому приложению использовать сканер отпечатков пальцев вместо пароля. Это означает, что вы можете использовать сканер отпечатков пальцев Galaxy S5, чтобы отправлять деньги в PayPal и получать доступ к приложению с паролями; к сожалению, это, вероятно, означает, что плохие актеры, которые подделывают ваши отпечатки пальцев, тоже могут это делать. Такой более широкий доступ к сканеру потенциально может позволить третьим сторонам получить доступ к конфиденциальной информации, получаемой с помощью этой технологии.
С уважением прошу Samsung предоставить ответы на следующие вопросы. Все, кроме первого, почти идентичны вопросам, которые я задал Apple в прошлом году.
(1) Как именно Samsung обеспечивает защиту данных отпечатков пальцев, генерируемых сканером отпечатков пальцев Galaxy S5?
(2) Можно ли преобразовать локально сохраненные данные отпечатков пальцев в цифровой или визуальный формат, который может использоваться третьими лицами?
(3) Можно ли извлечь и получить данные отпечатков пальцев с Galaxy S5? Если да, можно ли сделать это удаленно или с физическим доступом к устройству?
(4) Будут ли сохранены данные отпечатков пальцев на компьютере пользователя? Будут ли сохранены данные отпечатков пальцев в облаке или на серверах Samsung?
(5) Передает ли Galaxy S5 диагностическую информацию о системе сканера отпечатков пальцев Samsung или любой другой стороне? Если да, то какая информация передается?
(6) Как именно приложения Samsung и сторонние приложения взаимодействуют со сканером отпечатков пальцев? Какую информацию собирают эти приложения из системы сканера отпечатков пальцев, и какую информацию собирает Samsung, связанный с этими взаимодействиями, включая идентификаторы или хэши, связанные с данными отпечатков пальцев?
(7) Каковы дальнейшие планы Samsung по технологии сканирования отпечатков пальцев? Будет ли она внедрять эту технологию на своих планшетных устройствах, как показывают новостные сообщения?
(8) Может ли Samsung заверить своих пользователей, что они никогда не передадут данные своих отпечатков пальцев вместе с инструментами или другой информацией, необходимой для извлечения или обработки данных отпечатков пальцев Galaxy S5, с какой-либо коммерческой третьей стороной?
(9) Может ли Samsung заверить своих пользователей в том, что они никогда не передадут данные своих отпечатков пальцев вместе с инструментами или другой информацией, необходимой для извлечения или обработки данных отпечатков пальцев Galaxy S5, любому правительству, при отсутствии соответствующих юридических полномочий и процессов?
(10) В соответствии с американским законодательством о неприкосновенности частной жизни правоохранительные органы не могут заставлять компании раскрывать «содержание» сообщений без ордера, и компании не могут передавать эту информацию третьим сторонам без согласия клиента. Тем не менее, «запись или другая информация, относящаяся к подписчику … или клиенту», может быть свободно раскрыта любой третьей стороне без согласия клиента и может быть раскрыта правоохранительным органам после выдачи судебного постановления без вероятной причины. Более того, «номер абонента или личность» может быть раскрыт правительству с помощью простой повестки в суд. См. В целом 18 USC § 2702-2703.
Считает ли Samsung данные отпечатков пальцев «содержимым» сообщений, записей о клиентах или подписчиках или «номером абонента или идентификатором», как это определено в Законе о сохраненных коммуникациях?
(11) Согласно американскому закону о разведке, Федеральное бюро расследований может запрашивать приказ, требующий производства «любой материальной вещи (включая книги, записи, документы, документы и другие предметы)», если они считаются относящимися к определенным расследованиям внешней разведки., См. 50 USC § 1861.
Считает ли Samsung данные отпечатков пальцев «осязаемыми вещами», как это определено в законе США «ПАТРИОТ»?
(12) В соответствии с американским законом о разведке Федеральное бюро расследований может в одностороннем порядке издать Письмо о национальной безопасности, которое обязывает поставщиков телекоммуникационных услуг раскрывать «информацию об абоненте» или «записи транзакций электронной связи, находящиеся в его хранении или владении». Письма о национальной безопасности, как правило, содержат заглушки, что означает, что получатели не могут раскрыть, что они получили письмо. См., Например, 18 USC § 2709.
Считает ли Samsung данные отпечатков пальцев «информацией об абоненте» или «записями транзакций электронной связи», как это определено в Законе о сохраненной связи?
(13) Считает ли Samsung, что пользователи имеют разумные ожидания конфиденциальности данных о отпечатках пальцев, которые они предоставляют сканеру отпечатков пальцев?
Я не пытаюсь препятствовать внедрению технологии отпечатков пальцев для мобильных устройств. Если эта технология будет принята с соблюдением строгих гарантий, она может оказаться удобной и полезной. Скорее, моя цель состоит в том, чтобы убедить компании развернуть эту технологию наиболее безопасным и разумным способом и создать публичный отчет о том, как компании обрабатывают конфиденциальную биометрическую информацию.
Спасибо за ваше время и внимание к этим вопросам. Я прошу Samsung ответить на них в течение месяца после получения этого письма.
