Senator Minnesote Al Franken ima nekoliko pitanja o vašoj privatnosti i skeneru otisaka prstiju na Galaxy S5, te je poslao pismo Samsungu da dobije odgovore. Vidjeli smo kako je Franken to učinio prošle godine kada je iPhone 5S debitirao tehnologijom skeniranja otisaka prstiju, pa ne možemo reći da smo iznenađeni.
Otisci prstiju su suprotnost tajni. Ostavljate ih na bezbroj predmeta koje dodirnete tijekom dana: vrata vašeg automobila, čašu vode, čak i ekran vašeg pametnog telefona. Za razliku od lozinki, otisci prstiju se ne mogu mijenjati. Ako hakeri dobiju digitalnu kopiju vašeg otiska prsta, mogli bi ga upotrijebiti za lažno predstavljanje do kraja života, pogotovo jer se sve više i više tehnologija počinje oslanjati na provjeru autentičnosti otiska prsta. - senator Franken
Senator Franken priznaje da je Samsung poduzeo korake kako bi privatne podatke korisnika učinio privatnima kada koriste skener otiska prsta, ali se bavi problemima hakiranja i onim što Samsung planira učiniti s bilo kojim podacima koje nabavi.
Općenito, Franken zapravo radi svoj posao i pazi na svoje birače. Slijedi transkript pisma.
Izvor: senator Al Franken
13. svibnja 2014
Dr. Oh-Hyun Kwon, predsjednik Uprave Samsung Electronics Co, Ltd Glavna zgrada Samsung 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Koreja
G. Gregory Lee, predsjednik Uprave Samsung Electronics Sjeverna Amerika 85 Challenger Road Ridgefield Park, NJ 07660
Poštovani doktor Kwon i g. Lee:
Pišem vas da vas pitam o zaštiti privatnosti za tehnologiju skeniranja otisaka prstiju na pametnom telefonu Samsung Galaxy S5, koja je nedavno stigla u prodaju. Zabrinjavaju me izvješća da Samsungov skener otiska prsta možda nije toliko siguran koliko se možda čini - te da bi ti nedostaci u sigurnosti mogli stvoriti šire sigurnosne probleme na S5 pametnom telefonu. Pišem da zatražim informacije o tome kako se Samsung bavi tim i drugim pitanjima privatnosti u vezi sa svojim skenerom otiska prsta.
Sigurnosne prednosti tehnologije otiska prsta nisu toliko jasne kako bi mnogi očekivali. S jedne strane, lakše je prijeći prstom nego dodirnuti složenu lozinku. Stoga, pogodnost skenera otiska prsta može dovesti do toga da više vlasnika pametnih telefona zapravo zaključa svoje telefone. S druge strane, skeneri otiska prsta stvaraju akutne sigurnosne probleme koje lozinke nemaju - pogotovo kada se koriste umjesto umjesto provjere lozinke. Kao što sam objasnio u ranijem pismu Appleu u vezi sa razvojem njihovog skenera otiska prsta Touch ID, lozinke su tajne i dinamične, dok su otisci prstiju javni i trajni. Ako nikome ne kažete svoju lozinku, nitko je neće znati. Ako se pokvari, možete ga promijeniti za minutu ili dvije.
Otisci prstiju su suprotnost tajni. Ostavljate ih na bezbroj predmeta koje dodirnete tijekom dana: vrata vašeg automobila, čašu vode, čak i ekran vašeg pametnog telefona. Za razliku od lozinki, otisci prstiju se ne mogu mijenjati. Ako hakeri dobiju digitalnu kopiju vašeg otiska prsta, mogli bi ga upotrijebiti za lažno predstavljanje do kraja života, pogotovo jer se sve više i više tehnologija počinje oslanjati na provjeru autentičnosti otiska prsta.
Poput Appleovog Touch ID-a, Galaxy S5 skener otiska prsta bio je hakiran nekoliko dana nakon puštanja pametnog telefona. Sigurnosni istraživači zaobišli su oba skenera stvarajući lažni gumeni otisak s otiska prsta podignutog sa zaslona pametnog telefona.
Početna izvješća također sugeriraju da Galaxy S5 može izazvati zabrinutost zbog sigurnosti koju Touch ID ne čini. Skener otiska prsta Galaxy S5 omogućuje neograničene pokušaje provjere autentičnosti bez upita za lozinku, dok Apple-ov Touch ID zahtijeva lozinku nakon samo pet neuspjelih pokušaja. Nadalje, iako se Touch ID može koristiti samo za otključavanje uređaja i pristup određenim Appleovim strogo nadziranim aplikacijama, čini se da Galaxy S5 omogućuje bilo kojoj aplikaciji skener otiska prsta umjesto lozinke. To znači da možete koristiti skener otiska prsta Galaxy S5 za slanje novca na PayPal i pristup aplikaciji za lozinku; nažalost, to vjerojatno znači da i loši glumci koji varaju otiske prstiju mogu to učiniti. Ovaj širi pristup skeneru mogao bi trećim stranama omogućiti pristup osjetljivim informacijama koje generira ova tehnologija.
S poštovanjem tražim da Samsung pruži odgovore na sljedeća pitanja. Svi osim prvog gotovo su identični pitanjima koja sam Appleu postavila prošle godine.
(1) Kako točno Samsung osigurava podatke o otiscima prsta koje generira Galaxy S5 skener otiska prsta?
(2) Je li moguće pretvoriti podatke lokalnog pohranjenog otiska u digitalni ili vizualni format koji mogu koristiti treće strane?
(3) Je li moguće izdvojiti i dobiti podatke o otiscima prsta s Galaxy S5? Ako je odgovor tako, može li se to učiniti na daljinu ili fizičkim pristupom uređaju?
(4) Hoće li se sigurnosno kopirati podaci o otiscima prsta na računalo korisnika? Hoće li se podaci otiska prsta sigurnosno kopirati u oblak ili na Samsung servere?
(5) Da li Galaxy S5 šalje bilo kakve dijagnostičke informacije o sustavu skenera otiska prsta Samsungu ili nekoj drugoj strani? Ako je odgovor tako, koje se informacije prenose?
(6) Kako točno Samsung-ove i treće aplikacije djeluju na skener otiska prsta? Koje informacije prikupljaju te aplikacije iz sustava skenera otiska prsta i koje Samsung podatke prikuplja u vezi s tim interakcijama, uključujući identifikatore ili oznake povezane s podacima o otisku prsta?
(7) Koji su budući planovi tvrtke Samsung za tehnologiju skeniranja otisaka prstiju? Hoće li primijeniti tehnologiju na svojim tabletnim uređajima, kao što sugeriraju vijesti?
(8) Može li Samsung uvjeriti svoje korisnike da nikada neće dijeliti podatke o otiscima prsta, zajedno s alatima ili drugim informacijama potrebnim za vađenje ili manipuliranje podacima o otiscima prstiju Galaxy S5, s bilo kojom komercijalnom trećom stranom?
(9) Može li Samsung uvjeriti svoje korisnike da nikada neće dijeliti svoje podatke o otiscima prsta, zajedno s alatima ili drugim informacijama potrebnim za vađenje ili manipuliranje podacima o otiscima prstiju Galaxy S5, a bilo koja vlada ne posjeduje odgovarajuće zakonske ovlasti i postupak?
(10) Prema američkom zakonu o privatnosti, agencije za provođenje zakona ne mogu prisiliti kompanije na otkrivanje "sadržaja" komunikacija bez naloga i tvrtke ne mogu dijeliti te podatke s trećim stranama bez pristanka kupca. No, "zapis ili druge informacije koje se odnose na pretplatnika … ili kupca" mogu se slobodno otkriti bilo kojoj trećoj strani bez pristanka kupca, i mogu se otkriti policijskim organima nakon izdavanja sudskog naloga koji nije vjerovatno uzrokovan. Štoviše, "pretplatnički broj ili identitet" vladi se može otkriti jednostavnim pozivom na sud. Vidi općenito 18 USC § 2702-2703.
Da li Samsung smatra da su podaci o otiscima prsta "sadržaj" komunikacija, zapisa kupaca ili pretplatnika ili "pretplatnički broj ili identitet" kako je definirano u Zakonu o pohranjenim komunikacijama?
(11) Prema američkom zakonu o obavještajnim podacima, Federalni istražni ured može tražiti nalog kojim se zahtijeva izrada "bilo koje opipljive stvari (uključujući knjige, zapise, papire, dokumente i druge predmete)" ako se ocijene relevantnim za određene inozemne obavještajne istrage, Vidi 50 USC § 1861.
Da li Samsung smatra da su podaci o otiscima prstiju "opipljive stvari" kako je definirano u USA PATRIOT Act?
(12) Prema američkom zakonu o obavještajnim podacima, Savezni istražni ured može jednostrano izdati pismo o nacionalnoj sigurnosti kojim se telekomunikacijski obveznici prisiljavaju na otkrivanje "podataka o pretplatnicima" ili "elektroničkih komunikacijskih transakcijskih zapisa u njihovom pritvoru ili posjedovanju". Pisma o nacionalnoj sigurnosti obično sadrže pogrešan nalog, što znači da primatelji ne mogu otkriti da su pismo primili. Vidi npr. 18 USC § 2709.
Da li Samsung smatra da su podaci o otiscima prsta "informacije o pretplatnicima" ili "elektronički zapisi o transakcijskim komunikacijama" kako su definirani u Zakonu o pohranjenim komunikacijama?
(13) Vjeruje li Samsung da korisnici razumno očekuju privatnost u podacima o otiscima prsta koji daju skeneru otiska prsta?
Ne pokušavam obeshrabriti usvajanje tehnologije otiska prsta za potrošačke mobilne uređaje. Ako se usvoji s jakim zaštitnim mjerama, ova bi se tehnologija mogla pokazati prikladnom i korisnom. Moj je cilj, naprotiv, nagnati kompanije da ovu tehnologiju implementiraju na najsigurniji razuman način - i stvoriti javni zapis o tome kako tvrtke postupaju s osjetljivim biometrijskim informacijama.
Hvala vam na vašem vremenu i pažnji na ovim pitanjima. Tražim da im Samsung odgovori u roku od mjesec dana od primitka ovog pisma.
