Il senatore del Minnesota Al Franken ha alcune domande sulla tua privacy e sullo scanner di impronte digitali sul Galaxy S5 e ha inviato una lettera a Samsung per ottenere alcune risposte. Abbiamo visto Franken fare la stessa cosa l'anno scorso quando l'iPhone 5S ha debuttato con la tecnologia di scansione delle impronte digitali, quindi non possiamo dire di essere sorpresi.
Le impronte digitali sono l'opposto del segreto. Li lasci su innumerevoli oggetti che tocchi durante il giorno: la portiera della tua auto, un bicchiere d'acqua, persino lo schermo del tuo smartphone. E a differenza delle password, le impronte digitali non possono essere modificate. Se gli hacker ottengono una copia digitale della tua impronta digitale, potrebbero usarla per impersonarti per il resto della tua vita, in particolare poiché sempre più tecnologie iniziano a fare affidamento sull'autenticazione delle impronte digitali. - Senatore Franken
Il senatore Franken riconosce che Samsung ha preso provvedimenti per mantenere privati i dati degli utenti quando utilizzano lo scanner di impronte digitali, ma affronta le preoccupazioni relative all'hacking e a ciò che Samsung intende fare con qualsiasi dato che possano acquisire.
In generale, Franken sta effettivamente facendo il suo lavoro e sta cercando i suoi elettori. Segue la trascrizione della lettera.
Fonte: senatore Al Franken
13 maggio 2014
Dr. Oh-Hyun Kwon, CEO Samsung Electronics Co., Ltd. Edificio principale Samsung 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Corea
Gregory Lee, CEO Samsung Electronics Nord America 85 Challenger Road Ridgefield Park, NJ 07660
Cari Dr. Kwon e Mr. Lee:
Ti scrivo per chiederti informazioni sulla protezione della privacy per la tecnologia di scansione delle impronte digitali sullo smartphone Samsung Galaxy S5, recentemente in vendita. Sono preoccupato per le notizie secondo cui lo scanner di impronte digitali Samsung potrebbe non essere così sicuro come potrebbe sembrare - e che tali lacune di sicurezza potrebbero creare problemi di sicurezza più ampi sullo smartphone S5. Sto scrivendo per richiedere informazioni su come Samsung sta affrontando queste e altre domande sulla privacy relative al suo scanner di impronte digitali.
I vantaggi di sicurezza della tecnologia delle impronte digitali non sono così chiari come molti si aspetterebbero. Da un lato, è più facile scorrere il dito che toccare una password complessa. Pertanto, la praticità dello scanner di impronte digitali può comportare il fatto che un maggior numero di proprietari di smartphone blocca effettivamente i propri telefoni. D'altra parte, gli scanner di impronte digitali sollevano gravi problemi di sicurezza che le password non fanno - in particolare quando vengono utilizzate anziché anziché in aggiunta alla verifica della password. Come ho spiegato in una precedente lettera ad Apple riguardo all'implementazione dello scanner di impronte digitali Touch ID, le password sono segrete e dinamiche, mentre le impronte digitali sono pubbliche e permanenti. Se non dici a nessuno la tua password, nessuno lo saprà. Se viene violato, puoi cambiarlo in un minuto o due.
Le impronte digitali sono l'opposto del segreto. Li lasci su innumerevoli oggetti che tocchi durante il giorno: la portiera della tua auto, un bicchiere d'acqua, persino lo schermo del tuo smartphone. E a differenza delle password, le impronte digitali non possono essere modificate. Se gli hacker ottengono una copia digitale della tua impronta digitale, potrebbero usarla per impersonarti per il resto della tua vita, in particolare poiché sempre più tecnologie iniziano a fare affidamento sull'autenticazione delle impronte digitali.
Come il Touch ID di Apple, lo scanner di impronte digitali del Galaxy S5 è stato violato alcuni giorni dopo il rilascio dello smartphone. I ricercatori della sicurezza hanno aggirato entrambi gli scanner creando una falsa stampa in gomma da un'impronta digitale sollevata dallo schermo di uno smartphone.
I rapporti iniziali suggeriscono anche che il Galaxy S5 potrebbe sollevare problemi di sicurezza che Touch ID non ha. Secondo quanto riferito, lo scanner di impronte digitali Galaxy S5 consente tentativi di autenticazione illimitati senza una richiesta di password, mentre il Touch ID di Apple richiede una password dopo solo cinque tentativi falliti. Inoltre, mentre Touch ID può essere utilizzato solo per sbloccare un dispositivo e accedere ad alcune app Apple strettamente monitorate, Galaxy S5 sembra consentire a qualsiasi app di utilizzare lo scanner di impronte digitali anziché una password. Ciò significa che puoi utilizzare lo scanner di impronte digitali Galaxy S5 per inviare denaro su PayPal e accedere all'app per la password; sfortunatamente, probabilmente significa che anche i cattivi attori che falsificano le impronte digitali possono farlo. Questo più ampio accesso allo scanner potrebbe potenzialmente consentire a terzi di accedere alle informazioni sensibili generate dalla tecnologia.
Chiedo rispettosamente che Samsung fornisca le risposte alle seguenti domande. Tutti tranne il primo sono quasi identici alle domande che ho posto ad Apple l'anno scorso.
(1) In che modo Samsung protegge i dati delle impronte digitali generati dallo scanner di impronte digitali del Galaxy S5?
(2) È possibile convertire i dati delle impronte digitali memorizzati localmente in un formato digitale o visivo che può essere utilizzato da terze parti?
(3) È possibile estrarre e ottenere i dati delle impronte digitali da un Galaxy S5? In tal caso, è possibile farlo in remoto o con accesso fisico al dispositivo?
(4) I dati delle impronte digitali verranno sottoposti a backup sul computer di un utente? I dati delle impronte digitali verranno sottoposti a backup sul cloud o sui server Samsung?
(5) Il Galaxy S5 trasmette informazioni diagnostiche sul sistema di scanner di impronte digitali a Samsung o ad altre parti? In tal caso, quali informazioni vengono trasmesse?
(6) In che modo esattamente le app Samsung e le app di terzi interagiscono con lo scanner di impronte digitali? Quali informazioni vengono raccolte da tali app dal sistema dello scanner di impronte digitali e quali informazioni vengono raccolte da Samsung associate a tali interazioni, inclusi identificatori o hash relativi ai dati delle impronte digitali?
(7) Quali sono i piani futuri di Samsung per la tecnologia di scansione delle impronte digitali? Distribuirà la tecnologia sui suoi dispositivi tablet, come suggeriscono le notizie?
(8) Samsung può assicurare ai suoi utenti che non condividerà mai i dati delle loro impronte digitali, insieme a strumenti o altre informazioni necessarie per estrarre o manipolare i dati delle impronte digitali del Galaxy S5 con terze parti commerciali?
(9) Samsung può assicurare ai suoi utenti che non condividerà mai i dati delle loro impronte digitali, insieme a strumenti o altre informazioni necessarie per estrarre o manipolare i dati delle impronte digitali del Galaxy S5, con qualsiasi governo, in assenza di un'autorità legale e di un processo appropriati?
(10) Ai sensi della legge sulla privacy americana, le forze dell'ordine non possono obbligare le società a divulgare i "contenuti" delle comunicazioni senza un mandato e le società non possono condividere tali informazioni con terzi senza il consenso del cliente. Tuttavia, il "record o altre informazioni relative a un abbonato … o cliente" può essere divulgato liberamente a terzi senza il consenso del cliente e può essere divulgato alle forze dell'ordine all'emissione di un ordine del tribunale per cause non probabili. Inoltre, un "numero o identità di abbonato" può essere divulgato al governo con una semplice citazione. Vedi generalmente 18 USC § 2702-2703.
Samsung considera i dati relativi alle impronte digitali come il "contenuto" delle comunicazioni, i record dei clienti o degli abbonati o un "numero o identità dell'abbonato" come definito nello Stored Communications Act?
(11) Ai sensi della legge americana sull'intelligence, il Federal Bureau of Investigation può chiedere un ordine che richieda la produzione di "qualsiasi cosa tangibile (compresi libri, documenti, documenti, documenti e altri oggetti)" se sono ritenuti rilevanti per determinate indagini di intelligence all'estero. Vedi 50 USC § 1861.
Samsung considera i dati relativi alle impronte digitali come "cose tangibili", come definito dal PATRIOT Act degli Stati Uniti?
(12) Ai sensi della legge americana sull'intelligence, il Federal Bureau of Investigation può emettere unilateralmente una lettera di sicurezza nazionale che obbliga i fornitori di telecomunicazioni a divulgare "informazioni sugli abbonati" o "registri transazionali di comunicazioni elettroniche in sua custodia o possesso". Le lettere di sicurezza nazionale in genere contengono un ordine di bavaglio, il che significa che i destinatari non possono rivelare di aver ricevuto la lettera. Vedi, ad esempio, 18 USC § 2709.
Samsung considera i dati relativi alle impronte digitali come "informazioni sugli abbonati" o "registri transazionali di comunicazione elettronica" come definiti nello Stored Communications Act?
(13) Samsung ritiene che gli utenti abbiano una ragionevole aspettativa di privacy nei dati relativi alle impronte digitali che forniscono allo scanner di impronte digitali?
Non sto cercando di scoraggiare l'adozione della tecnologia delle impronte digitali per i dispositivi mobili di consumo. Se adottata con solide garanzie, questa tecnologia potrebbe rivelarsi conveniente e vantaggiosa. Piuttosto, il mio obiettivo è sollecitare le aziende a implementare questa tecnologia nel modo più sicuro ragionevole e creare un registro pubblico sul modo in cui le aziende trattano le informazioni biometriche sensibili.
Grazie per il tuo tempo e l'attenzione a queste domande. Chiedo a Samsung di rispondere entro un mese dalla ricezione di questa lettera.
