Al Minnesota szenátornak, Al Frankennek néhány kérdése van az adatvédelemmel és az ujjlenyomat-leolvasóval kapcsolatban a Galaxy S5 készüléken, és levelet küldött a Samsungnak, hogy válaszokat kapjon. Láttuk, hogy Franken ugyanezt csinálja tavaly, amikor az iPhone 5S ujjlenyomat-letapogató technológiával debütált, így nem mondhatjuk, hogy meglepődtek.
Az ujjlenyomatok ellentétesek a titokkal. Számtalan tárgyon hagyja őket, amelyekkel egész nap megérinti: az autó ajtaját, egy pohár vizet, akár az okostelefon képernyőjét is. És a jelszavakkal ellentétben az ujjlenyomatok nem változtathatók meg. Ha a hackerek megszerezik az ujjlenyomat digitális másolatát, felhasználhatják arra, hogy megszemélyesítsék Önt életük hátralévő részében, különösen mivel egyre több technológia támaszkodik az ujjlenyomat-hitelesítésre. - Franken szenátor
Franken szenátor elismeri, hogy a Samsung lépéseket tett a felhasználói adatok bizalmas kezelése érdekében, amikor ujjlenyomat-leolvasót használnak, de foglalkozik a hackeléssel kapcsolatos aggodalmakkal és azzal, hogy a Samsung mit kíván tenni az esetlegesen beszerzett adatokkal.
Általában véve, Franken valójában munkáját végzi, és választópolgárait keresi. A levél átiratát követi.
Forrás: Al Franken szenátor
2014. május 13
Dr. Oh-Hyun Kwon, a Samsung Electronics Co., Ltd. vezérigazgatója. A Samsung Main Building 250, Taepyeongno 2-ga, Jung-gu Szöul, 100-742, Korea
Gregory Lee, a Samsung Electronics North America vezérigazgatója, 85 Challenger Road Ridgefield Park, NJ 07660
Kedves Dr. Kwon és Lee úr:
Arra írok, hogy megkérdezzem Önöket a Samsung Galaxy S5 okostelefon ujjlenyomat-letapogató technológiájának adatvédelméről, amely nemrégiben került forgalomba. Aggódik a jelentések, amelyek szerint a Samsung ujjlenyomat-leolvasója nem olyan biztonságos, mint amilyennek látszik - és hogy ezek a biztonsági hiányosságok szélesebb körű biztonsági problémákat okozhatnak az S5 okostelefonon. Arra írok információt, hogy a Samsung hogyan kezeli ezeket az ujjlenyomat-leolvasóval kapcsolatos adatvédelmi kérdéseket.
Az ujjlenyomat-technológia biztonsági előnyei nem olyan egyértelműek, mint sokan elvárnák. Egyrészt könnyebb ujját ellopni, mint összetett jelszó kiiktatása. Így az ujjlenyomat-leolvasó kényelme miatt az okostelefon-tulajdonosok valójában reteszelik telefonjaikat. Ugyanakkor az ujjlenyomat-leolvasók olyan akut biztonsági problémákat vet fel, amelyekkel a jelszavak nem merülnek fel - különösen akkor, ha a jelszó-ellenőrzés helyett inkább használják őket. Ahogyan egy korábbi levélben kifejtettem az Apple-nek a Touch ID ujjlenyomat-leolvasójuk bevezetése kapcsán, a jelszavak titkosak és dinamikusak, míg az ujjlenyomatok nyilvánosak és állandóak. Ha nem mondja el senkinek a jelszavát, senki sem fogja tudni. Ha feltörik, akkor egy-két perc alatt megváltoztathatja.
Az ujjlenyomatok ellentétesek a titokkal. Számtalan tárgyon hagyja őket, amelyekkel egész nap megérinti: az autó ajtaját, egy pohár vizet, akár az okostelefon képernyőjét is. És a jelszavakkal ellentétben az ujjlenyomatok nem változtathatók meg. Ha a hackerek megszerezik az ujjlenyomat digitális másolatát, felhasználhatják arra, hogy megszemélyesítsék Önt életük hátralévő részében, különösen mivel egyre több technológia támaszkodik az ujjlenyomat-hitelesítésre.
Az Apple Touch ID-hez hasonlóan a Galaxy S5 ujjlenyomat-leolvasóját néhány nappal az okostelefon kiadása után is feltörték. A biztonsági kutatók kiküszöbölték mindkét szkennert egy hamis gumi nyomat létrehozásával az okostelefon képernyőjén emelt ujjlenyomatból.
Az eredeti jelentések azt is sugallják, hogy a Galaxy S5 olyan biztonsági aggályokat vet fel, amelyeket a Touch ID nem jelent. A Galaxy S5 ujjlenyomat-leolvasó állítólag korlátlan hitelesítési kísérleteket tesz lehetővé jelszó megadása nélkül, míg az Apple Touch ID csak öt sikertelen kísérlet után igényel jelszót. Ezen felül, míg a Touch ID csak egy eszköz feloldásához és bizonyos szigorúan ellenőrzött Apple alkalmazásokhoz való hozzáféréshez használható, a Galaxy S5 úgy tűnik, hogy bármely alkalmazás jelszó helyett ujjlenyomat-leolvasót használhat. Ez azt jelenti, hogy a Galaxy S5 ujjlenyomat-leolvasójával pénzt küldhet a PayPalon, és elérheti a jelszó alkalmazását; Sajnos ez valószínűleg azt jelenti, hogy az ujjlenyomatait csaló rossz szereplők is ezt meg tudják tenni. A szkennerhez való szélesebb körű hozzáférés harmadik felek számára lehetővé teheti a technológia által generált érzékeny információkhoz való hozzáférést.
Tisztelettel kérem a Samsungot, hogy válaszoljon a következő kérdésekre. Az első kivételével szinte azonosak azok a kérdések, amelyeket tavaly feltettem az Apple-re.
(1) Hogyan pontosan biztosítja a Samsung a Galaxy S5 ujjlenyomat-leolvasójával előállított ujjlenyomatadatokat?
(2) Lehet-e konvertálni a helyben tárolt ujjlenyomatadatokat olyan digitális vagy vizuális formátumba, amelyet harmadik fél használhat?
(3) Ujjlenyomatadatok nyerhetők és beszerezhetők a Galaxy S5-ből? Ha igen, akkor ezt távolról, vagy fizikai hozzáféréssel lehet megtenni az eszközhöz?
(4) Biztonsági másolatot készít az ujjlenyomatokról a felhasználó számítógépén? Az ujjlenyomatadatokról biztonsági másolatot készítenek a felhőre vagy a Samsung szervereire?
(5) A Galaxy S5 továbbít-e diagnosztikai információkat az ujjlenyomat-leolvasó rendszerről a Samsung-nak vagy más félnek? Ha igen, milyen információkat továbbítanak?
(6) Hogyan pontosan működnek együtt a Samsung alkalmazások és a harmadik féltől származó alkalmazások az ujjlenyomat-leolvasóval? Milyen információkat gyűjtenek ezek az alkalmazások az ujjlenyomat-leolvasó rendszerből, és milyen információkat gyűjt a Samsung az ilyen interakciókkal kapcsolatban, ideértve az ujjlenyomatadatokkal kapcsolatos azonosítókat vagy hash-okat?
(7) Mik a Samsung jövőbeli tervei az ujjlenyomat-letapogató technológiáról? Bevezeti-e a technológiát táblagépein, ahogyan a hírjelentések azt sugallják?
(8) Biztosíthatja a Samsung felhasználóit arról, hogy soha nem fog megosztani ujjlenyomatadataikat, valamint eszközöket vagy egyéb információkat, amelyek a Galaxy S5 ujjlenyomatadatainak kinyeréséhez vagy manipulálásához szükségesek, harmadik felekkel?
(9) Meg tudja-e erősíteni a Samsung felhasználóit, hogy soha nem osztják meg az ujjlenyomatadataikat, valamint a Galaxy S5 ujjlenyomatadatainak kinyeréséhez vagy manipulálásához szükséges eszközökkel vagy egyéb információkkal bármelyik kormányzattal, ha nincs megfelelő jogi felhatalmazás és folyamat?
(10) Az amerikai adatvédelmi törvény értelmében a bűnüldöző szervek nem kötelezhetik a társaságokat, hogy szavatosság nélkül tegyék közzé a közlemények "tartalmát", és a társaságok nem oszthatják meg ezeket az információkat harmadik felekkel vásárlói hozzájárulás nélkül. Ugyanakkor a "feliratkozókra vagy más, az előfizetőre … vagy az ügyfelekre vonatkozó információk" bármilyen harmadik fél számára szabadon hozzáférhetők az ügyfelek hozzájárulása nélkül, és a valószínűtlen okból kiadott bírósági végzés kiadásakor a rendőrség számára felfedhetők. Ezenkívül egy "előfizetői számot vagy személyazonosságot" egy egyszerű idézéssel felfedhetnek a kormánynak. Lásd általában a 18 USC 2702-2703.
A Samsung úgy véli, hogy az ujjlenyomatadatok a kommunikáció, az ügyfelek vagy előfizetők nyilvántartásának „tartalma”, vagy „tárolt kommunikációs törvényben meghatározott” előfizetői szám vagy személyazonosság?
(11) Az amerikai hírszerzési törvény értelmében a Szövetségi Nyomozó Iroda "bármilyen tárgyi anyag (beleértve a könyveket, nyilvántartásokat, iratokat, dokumentumokat és egyéb tételeket) készítését előíró rendeletet kérhet", ha azokat bizonyos külföldi hírszerzési nyomozások szempontjából relevánsnak ítélik meg.. Lásd: 50 USC 1861. §.
A Samsung az ujjlenyomatadatokat „kézzelfogható dolgoknak” tekinti az USA PATRIOT törvényében meghatározottak szerint?
(12) Az amerikai hírszerzési törvény értelmében a Szövetségi Nyomozó Iroda egyoldalúan kiadhat egy nemzetbiztonsági levelet, amely arra kötelezi a távközlési szolgáltatókat, hogy tegyék közzé "előfizetői információt" vagy "a birtokában vagy birtokában lévő elektronikus kommunikációs tranzakciós nyilvántartást". A nemzetbiztonsági levelek tipikusan elrendezést tartalmaznak, azaz a címzettek nem fedhetik fel, hogy megkapták a levelet. Lásd például: 18 USC § 2709.
A Samsung az ujjlenyomatadatokat „előfizetői információknak” vagy „elektronikus kommunikációs tranzakciós nyilvántartásoknak” tekinti a tárolt kommunikációs törvényben meghatározottak szerint?
(13) A Samsung úgy véli, hogy a felhasználók ésszerűen elvárják az ujjlenyomat-leolvasóval ellátott ujjlenyomatadatok adatvédelmét?
Nem próbálom visszatartani az ujjlenyomat-technológiát a fogyasztói mobil eszközök számára. Szigorú védintézkedésekkel történő alkalmazás esetén ez a technológia kényelmesnek és hasznosnak bizonyulhat. Célom inkább arra buzdítani a vállalatokat, hogy alkalmazzák ezt a technológiát a lehető legbiztonságosabb módon - és hozzanak létre nyilvános nyilvántartást arról, hogy a vállalatok hogyan kezelik az érzékeny biometrikus információkat.
Köszönöm az idejét és figyelmét ezekre a kérdésekre. Arra kérem a Samsungot, hogy a levél kézhezvételétől számított egy hónapon belül válaszoljon rájuk.
