明尼苏达州参议员Al Franken对您的隐私和Galaxy S5上的指纹扫描仪有一些疑问,并已致函三星以获得一些答案。 去年,当iPhone 5S采用指纹扫描技术首次亮相时,我们看到弗兰肯做了同样的事情,所以我们不能说我们感到惊讶。
指纹与秘密相反。 你把它们放在你整天触摸的无数物体上:你的车门,一杯水,甚至智能手机的屏幕。 与密码不同,指纹无法更改。 如果黑客掌握了指纹的数字副本,他们就可以用它来冒充你的余生,特别是随着越来越多的技术开始依赖指纹认证。 - 参议员弗兰肯
参议员弗兰肯承认,三星在使用指纹扫描仪时已采取措施保护用户数据的私密性,但他解决了对黑客的担忧,以及三星计划对他们可能采购的任何数据做些什么。
一般来说,弗兰肯实际上正在做他的工作,并寻找他的选民。 该信的成绩单如下。
资料来源:参议员Al Franken
2014年5月13日
Oh-Hyun Kwon博士,三星电子有限公司三星主楼250,Taepyeongno 2-ga,Jung-gu Seoul,100-742,韩国
Gregory Lee先生,三星电子北美首席执行官85 Challenger Road Ridgefield Park,NJ 07660
亲爱的Kwon博士和李先生:
我写信询问有关三星Galaxy S5智能手机上指纹扫描技术的隐私保护问题,该技术最近已经开始销售。 我担心三星的指纹扫描仪可能不像看起来那么安全 - 并且这些安全漏洞可能会在S5智能手机上造成更广泛的安全问题。 我写信是要求有关三星如何处理有关其指纹扫描仪的这些和其他隐私问题的信息。
指纹技术的安全优势并不像许多人预期的那么明显。 一方面,滑动手指比拔出复杂密码更容易。 因此,指纹扫描仪的便利性可能导致更多的智能手机用户实际锁定他们的电话。 另一方面,指纹扫描仪会引发严重的安全问题 - 密码不会 - 特别是在使用它们而不是密码验证时。 正如我在早些时候致苹果公司关于推出Touch ID指纹扫描仪的信中所解释的那样,密码是秘密且动态的,而指纹是公开的和永久性的。 如果你没有告诉任何人你的密码,没有人会知道。 如果它被黑客入侵,你可以在一两分钟内改变它。
指纹与秘密相反。 你把它们放在你整天触摸的无数物体上:你的车门,一杯水,甚至智能手机的屏幕。 与密码不同,指纹无法更改。 如果黑客掌握了指纹的数字副本,他们就可以用它来冒充你的余生,特别是随着越来越多的技术开始依赖指纹认证。
与Apple的Touch ID一样,Galaxy S5的指纹扫描仪在智能手机发布几天后遭到黑客入侵。 安全研究人员通过从智能手机屏幕上提起的指纹创建假橡皮打印件来绕过两个扫描仪。
初步报告还表明,Galaxy S5可能会引发Touch ID没有的安全问题。 据报道,Galaxy S5指纹扫描仪允许在没有密码提示的情况下进行无限制的身份验证尝试,而Apple的Touch ID仅在五次尝试失败后需要密码。 此外,虽然Touch ID只能用于解锁设备和访问某些受到严密监控的Apple应用程序,但Galaxy S5似乎允许任何应用程序使用指纹扫描仪而不是密码。 这意味着您可以使用Galaxy S5指纹扫描仪在PayPal上汇款并访问您的密码应用程序; 不幸的是,这可能意味着欺骗指纹的坏演员也可以做到这一点。 这种对扫描仪的更广泛访问可能允许第三方访问由该技术生成的敏感信息。
我恭敬地要求三星提供以下问题的答案。 除了第一个之外的所有内容几乎与我去年向Apple提出的问题相同。
(1)三星如何保护Galaxy S5指纹扫描仪生成的指纹数据?
(2)是否可以将本地存储的指纹数据转换为可供第三方使用的数字或视觉格式?
(3)是否可以从Galaxy S5中提取和获取指纹数据? 如果是这样,可以远程完成,还是物理访问设备?
(4)指纹数据是否会备份到用户的计算机上? 指纹数据是备份到云还是三星服务器?
(5)Galaxy S5是否向三星或任何其他方传输有关指纹扫描仪系统的任何诊断信息? 如果是这样,传输什么信息?
(6)三星应用程序和第三方应用程序与指纹扫描程序的交互方式究竟如何? 这些应用程序从指纹扫描仪系统收集哪些信息,以及三星与这些交互相关的信息,包括与指纹数据相关的标识符或哈希值?
(7)三星未来的指纹扫描技术计划是什么? 据新闻报道显示,它是否会在平板设备上部署这项技术?
(8)三星可以向用户保证,它不会与任何商业第三方共享他们的指纹数据,以及提取或操纵Galaxy S5指纹数据所需的工具或其他信息吗?
(9)三星可以向用户保证,如果没有适当的法律授权和流程,它将永远不会与任何政府分享他们的指纹数据,以及提取或操纵Galaxy S5指纹数据所需的工具或其他信息吗?
(10)根据美国隐私法,执法机构不得强迫公司在没有手令的情况下披露通信的“内容”,未经客户同意,公司不得与第三方共享该信息。 但是,“与订户……或客户有关的记录或其他信息”可以在未经客户同意的情况下自由地向任何第三方披露,并且可以在发布不可能的原因法院命令时向执法部门披露。 此外,可以通过简单的传票向政府披露“用户号码或身份”。 一般参见18USC§2702-2703。
三星是否将指纹数据视为通信,客户或订户记录的“内容”,或“存储通信法”中定义的“订户号或身份”?
(11)根据美国情报法,联邦调查局如果认为与某些外国情报调查有关,可以寻求制作“任何有形物品(包括书籍,记录,文件,文件和其他物品)”的命令。 见50USC§1861。
三星是否认为指纹数据是美国爱国者法案中定义的“有形物”?
(12)根据美国情报法,联邦调查局可以单方面发布国家安全信函,强制电信提供商披露“用户信息”或“其保管或拥有的电子通信交易记录”。 国家安全信函通常包含一个禁言令,这意味着收件人不能透露他们收到了这封信。 参见,例如,18USC§2709。
三星是否将指纹数据视为“存储通信法案”中定义的“订户信息”或“电子通信交易记录”?
(13)三星是否认为用户对指纹扫描仪提供的指纹数据有合理的隐私期望?
我并不打算阻止对消费者移动设备采用指纹技术。 如果采用强有力的保障措施,这项技术可以证明是方便和有益的。 相反,我的目标是敦促公司以最安全的方式合理部署这项技术 - 并围绕公司如何处理敏感的生物识别信息创建公共记录。
感谢您抽出时间和关注这些问题。 我问三星在收到这封信的一个月内回复了他们。
