לסנאטור אל פרנקן, מינסוטה, יש כמה שאלות על פרטיותך וסורק טביעות האצבע ב- Galaxy S5, ושלח מכתב לסמסונג כדי לקבל תשובות. ראינו את פרנקן עושה את אותו הדבר בשנה שעברה כאשר ה- iPhone 5S הופיע עם טכנולוגיית סריקת טביעות אצבע, כך שלא נוכל לומר שאנחנו מופתעים.
טביעות אצבעות הן ההפך מהסוד. אתה משאיר אותם על אינספור חפצים שאתה נוגע בהם לאורך היום: דלת המכונית שלך, כוס מים, אפילו מסך הטלפון החכם שלך. ובניגוד לסיסמאות, לא ניתן לשנות טביעות אצבע. אם האקרים משיגים עותק דיגיטלי של טביעת האצבע שלך, הם יוכלו להשתמש בו כדי להתחזות לך למשך שארית חייך, במיוחד כאשר יותר ויותר טכנולוגיות יתחילו להסתמך על אימות טביעות אצבע. - הסנטור פרנקן
הסנטור פרנקן מאשר כי סמסונג נקטה בצעדים כדי לשמור על פרטי פרטי המשתמשים כאשר הם משתמשים בסורק טביעות האצבע, אך הוא מתייחס לחששות מפני פריצה, ומה סמסונג מתכננת לעשות עם כל הנתונים שהם עשויים להשיג.
באופן כללי, פרנקן למעשה עושה את העבודה שלו ומחפש את בוחריו. להלן תעתיק המכתב.
מקור: הסנטור אל פרנקן
13 במאי 2014
ד"ר אוה-היון קווון, מנכ"ל סמסונג אלקטרוניקה ושות 'בע"מ בניין הראשי של סמסונג 250, טאיפיונגנו 2-גה, יונג-גיא סיאול, 100-742, קוריאה
מר גרגורי לי, מנכ"ל סמסונג אלקטרוניקה צפון אמריקה 85 Challenger Road רידגילד פארק, NJ 07660
ד"ר קווון היקר ומר לי היקרים:
אני כותב לשאול אותך לגבי הגנות על פרטיות לטכנולוגיית סריקת טביעות האצבע בסמארטפון Galaxy S5 של סמסונג, שנכנס לאחרונה למכירה. אני מודאג מהדיווחים כי ייתכן שסורק טביעות האצבע של סמסונג אינו בטוח ככל שיהיה - וכי פערי האבטחה עשויים ליצור בעיות אבטחה רחבות יותר בסמארטפון S5. אני כותב לבקש מידע על אופן הטיפול של סמסונג בשאלות פרטיות אלה ואחרות בנושא סורק טביעות האצבע שלה.
היתרונות הביטחוניים של טכנולוגיית טביעות האצבע אינם ברורים כפי שרבים היו מצפים. מצד אחד, קל יותר להחליק את האצבע מאשר להקיש סיסמה מורכבת. לפיכך, הנוחות של סורק טביעות האצבע עשויה לגרום לכך שבעלי סמארטפונים רבים יותר נועלים את הטלפונים שלהם. מצד שני, סורקי טביעות אצבע מעלים בעיות אבטחה חריפות שהסיסמאות אינן מקיימות - במיוחד כאשר משתמשים בהן במקום לא בנוסף לאימות סיסמאות. כפי שהסברתי במכתב קודם ל- Apple בנוגע להעלאתם של סורק טביעות האצבע של Touch ID שלהם, סיסמאות הן סודיות ודינמיות, בעוד טביעות האצבע הן ציבוריות וקבועות. אם אתה לא אומר לאף אחד את הסיסמה שלך, אף אחד לא יידע זאת. אם זה נפרץ, אתה יכול לשנות את זה תוך דקה או שתיים.
טביעות אצבעות הן ההפך מהסוד. אתה משאיר אותם על אינספור חפצים שאתה נוגע בהם לאורך היום: דלת המכונית שלך, כוס מים, אפילו מסך הטלפון החכם שלך. ובניגוד לסיסמאות, לא ניתן לשנות טביעות אצבע. אם האקרים משיגים עותק דיגיטלי של טביעת האצבע שלך, הם יוכלו להשתמש בו כדי להתחזות לך למשך שארית חייך, במיוחד כאשר יותר ויותר טכנולוגיות יתחילו להסתמך על אימות טביעות אצבע.
כמו מזהה המגע של אפל, גם סורק טביעות האצבע של Galaxy S5 נפרץ ימים ספורים לאחר שחרורו של הטלפון החכם. חוקרי אבטחה עקפו את שני הסורקים על ידי יצירת הדפס גומי מזויף מטביעת אצבע שהורמה ממסך הטלפון החכם.
מדיווחים ראשוניים עולה גם כי ה- Galaxy S5 עשוי לעורר חששות ביטחוניים שמזהה מגע אינו עושה. על פי הדיווחים, סורק טביעות האצבע של Galaxy S5 מאפשר ניסיונות אימות בלתי מוגבלים ללא הנחיית סיסמה, ואילו מזהה המגע של אפל דורש סיסמא לאחר חמישה ניסיונות כושלים בלבד. יתר על כן, בעוד שניתן להשתמש במזהה מגע רק כדי לבטל את נעילת המכשיר וכדי לגשת ליישומי אפל מסוימים עם פיקוח הדוק, נראה כי Galaxy S5 מאפשר לכל יישום להשתמש בסורק טביעות האצבע במקום בסיסמה. המשמעות היא שתוכלו להשתמש בסורק טביעות האצבע של Galaxy S5 כדי לשלוח כסף ב- PayPal ולגשת לאפליקציית הסיסמה שלכם; למרבה הצער, סביר להניח שזה אומר ששחקנים רעים שזייפים את טביעות האצבע שלך יכולים לעשות זאת. גישה רחבה יותר זו לסורק עשויה לאפשר לצדדים שלישיים לגשת למידע רגיש שנוצר על ידי הטכנולוגיה.
אני מבקש בכבוד ממסמסונג לספק תשובות לשאלות הבאות. כולם מלבד הראשון כמעט זהים לשאלות שהצגתי בפני אפל בשנה שעברה.
(1) כיצד בדיוק מאבטחת סמסונג את נתוני טביעות האצבע שנוצרו על ידי סורק טביעות האצבע של Galaxy S5?
(2) האם ניתן להמיר נתוני טביעות אצבע המאוחסנים באופן מקומי לפורמט דיגיטלי או חזותי שיכול לשמש צדדים שלישיים?
(3) האם ניתן לחלץ ולקבל נתונים על טביעות אצבע מ- Galaxy S5? אם כן, האם ניתן לעשות זאת מרחוק, או עם גישה פיזית למכשיר?
(4) האם גיבוי הנתונים של טביעות האצבע למחשב של המשתמש? האם גיבוי הנתונים של טביעות האצבע לענן או לשרתי סמסונג?
(5) האם Galaxy S5 מעביר מידע אבחון כלשהו אודות מערכת סורק טביעות האצבע לסמסונג או לכל גורם אחר? אם כן, איזה מידע מועבר?
(6) כיצד בדיוק מיישמים אפליקציות סמסונג ואפליקציות צד ג 'עם סורק טביעות האצבע? איזה מידע נאסף על ידי אותם אפליקציות ממערכת סורק טביעות האצבע, ואיזה מידע נאסף על ידי סמסונג הקשורה לאינטראקציות הללו, כולל מזהים או חיפזורים הקשורים לנתוני טביעות האצבע?
(7) מהן התוכניות העתידיות של סמסונג לטכנולוגיית סריקת טביעות אצבע? האם היא תפרוס את הטכנולוגיה במכשירי הטאבלט שלה, כפי שעולה מדוחות החדשות?
(8) האם סמסונג יכולה להבטיח למשתמשים שהיא לעולם לא תשתף את נתוני טביעות האצבע שלהם, יחד עם כלים או מידע אחר הדרוש כדי לחלץ או לתפעל את נתוני טביעות האצבע של Galaxy S5, עם צד שלישי מסחרי כלשהו?
(9) האם סמסונג יכולה להבטיח למשתמשיה שהיא לעולם לא תשתף את נתוני טביעות האצבע שלהם, יחד עם כלים או מידע אחר הנחוץ כדי לחלץ או לתפעל את נתוני טביעות האצבע של Galaxy S5, עם כל ממשל, הנעדר סמכות חוקית ותהליך מתאים?
(10) על פי חוק הפרטיות האמריקני, רשויות אכיפת החוק אינן יכולות להכריח חברות לחשוף את "תוכן" התקשורת ללא צו, וחברות אינן יכולות לחלוק מידע זה עם צדדים שלישיים ללא הסכמת לקוחות. עם זאת, "הרשומה או מידע אחר הנוגע למנוי … או לקוח" ניתן לחשוף באופן חופשי לצד שלישי ללא הסכמת הלקוח, וניתן לחשוף אותו לאכיפת החוק עם מתן צו בית משפט שאינו סביר. יתרה מזאת, "מספר מנויים או זהות" ניתן לגלות לממשלה באמצעות זימון זימון פשוט. ראה בדרך כלל 18 USC § 2702-2703.
האם סמסונג מחשיבה את נתוני טביעות האצבע כ"תוכן "של רשומות תקשורת, לקוחות או מנויים, או" מספר מנויים או זהות "כהגדרתם בחוק התקשורת המאוחסנת?
(11) על פי חוק המודיעין האמריקני, הלשכה הפדרלית לחקירה יכולה לבקש צו המחייב לייצר "כל דבר מוחשי (כולל ספרים, רשומות, מסמכים, מסמכים ופריטים אחרים)" אם הם נחשבים רלוונטיים לחקירות מודיעין זרות מסוימות.. ראה 50 USC § 1861.
האם סמסונג רואה בנתוני טביעות האצבע "דברים מוחשיים" כהגדרתם בחוק PATRIOT של ארה"ב?
(12) על פי דיני המודיעין האמריקנים, הלשכה הפדרלית לחקירה יכולה להוציא באופן חד צדדי מכתב לביטחון לאומי המחייב את ספקי התקשורת לחשוף "מידע על מנויים" או "רשומות עסקיות תקשורת אלקטרוניות שבחזקתה או ברשותה." מכתבי ביטחון לאומי מכילים בדרך כלל צו איסור פרסום, כלומר המקבלים אינם יכולים לחשוף שהם קיבלו את המכתב. ראו למשל 18 USC § 2709.
האם סמסונג רואה בנתוני טביעות האצבע "מידע מנויים" או "רשומות עסקיות של תקשורת אלקטרונית" כהגדרתם בחוק התקשורת המאוחסנת?
(13) האם סמסונג מאמינה שלמשתמשים יש ציפייה סבירה לפרטיות בנתוני טביעות האצבע שהם מספקים לסורק טביעות האצבע?
אני לא מנסה להרתיע מאימוץ טכנולוגיית טביעות אצבע למכשירים ניידים צרכניים. אם היא מאומצת עם אמצעי הגנה חזקים, טכנולוגיה זו עשויה להתברר כנוחה ומועילה. במקום זאת, המטרה שלי היא להאיץ בחברות לפרוס טכנולוגיה זו בצורה הכי מאובטחת והגיונית - וליצור רשומה ציבורית סביב האופן שבו חברות מתייחסות למידע ביומטרי רגיש.
תודה על זמנך ותשומת לבך לשאלות אלו. אני מבקש שסמסונג תשיב להם תוך חודש מקבלת מכתב זה.
