ミネソタ州上院議員アル・フランケンは、あなたのプライバシーとギャラクシーS5の指紋スキャナーについていくつか質問をし、いくつかの答えを得るためにサムスンに手紙を送りました。 昨年、iPhone 5Sが指紋スキャン技術でデビューしたとき、Frankenが同じことをしているのを見てきたので、驚いたとは言えません。
指紋は秘密の反対です。 車のドア、一杯の水、スマートフォンの画面など、一日中触れている無数の物の上に置きます。 また、パスワードとは異なり、指紋は変更できません。 ハッカーが指紋のデジタルコピーを手に入れた場合、特に指紋認証に依存する技術がますます増えるにつれて、ハッカーがそれを使用してあなたの残りの人生にわたってあなたになりすますことができます。 -フランケン上院議員
フランケン上院議員は、サムスンが指紋スキャナーを使用しているときにユーザーデータを非公開にする措置を講じたことを認めますが、ハッキングとサムスンが調達する可能性のあるデータに対してサムスンが行うことに関する懸念に対処します。
一般的に、フランケンは実際に仕事をしており、彼の有権者を探しています。 手紙の転写が続きます。
出典:アル・フランケン上院議員
2014年5月13日
Oh-Hyun Kwon博士、サムスン電子株式会社CEOサムソン本館250、100-742ソウル中区テピョンノ2街、韓国
グレゴリー・リー氏、サムスン電子北米CEO 85 Challenger Road Ridgefield Park、NJ 07660
親愛なるクォン博士とリー氏:
最近発売されたSamsung Galaxy S5スマートフォンの指紋スキャンテクノロジーのプライバシー保護についてお伺いするために書いています。 私は、Samsungの指紋スキャナーは見た目ほど安全ではないかもしれないという報告に懸念を抱いています-そして、それらのセキュリティギャップはS5スマートフォンでより広範なセキュリティ問題を作成するかもしれません。 私は、サムスンが指紋スキャナーに関するこれらおよびその他のプライバシーの質問にどのように取り組んでいるかについての情報を要求するために書いています。
指紋技術のセキュリティ上の利点は、多くの人が期待するほど明確ではありません。 一方では、複雑なパスワードをタップするよりも指をスワイプする方が簡単です。 したがって、指紋スキャナーの利便性により、スマートフォンを実際にロックするスマートフォン所有者が増える可能性があります。 一方、指紋スキャナーは、パスワードでは発生しない深刻なセキュリティ問題を引き起こします。特に、パスワード検証に加えてではなく、パスワードを使用する場合はそうです。 Touch ID指紋スキャナーの展開に関する以前のAppleへの手紙で説明したように、パスワードは秘密であり、動的ですが、指紋は公開され永続的です。 パスワードを誰にも言わない場合、誰もそれを知りません。 ハッキングされた場合は、1〜2分で変更できます。
指紋は秘密の反対です。 車のドア、一杯の水、スマートフォンの画面など、一日中触れている無数の物の上に置きます。 また、パスワードとは異なり、指紋は変更できません。 ハッカーが指紋のデジタルコピーを手に入れた場合、特に指紋認証に依存する技術がますます増えるにつれて、ハッカーがそれを使用してあなたの残りの人生にわたってあなたになりすますことができます。
AppleのTouch IDと同様に、Galaxy S5の指紋スキャナーは、スマートフォンのリリースから数日後にハッキングされました。 セキュリティ研究者は、スマートフォンの画面から持ち上げた指紋から偽のゴム印を作成することにより、両方のスキャナーをバイパスしました。
初期のレポートでは、Galaxy S5がTouch IDにはないセキュリティ上の懸念を引き起こす可能性があることも示唆しています。 Galaxy S5指紋スキャナーは、パスワードプロンプトなしで無制限の認証試行を許可すると報告されていますが、AppleのTouch IDは、5回だけ失敗した後にパスワードを要求します。 さらに、Touch IDはデバイスのロック解除と厳重に監視された特定のAppleアプリへのアクセスにのみ使用できますが、Galaxy S5はすべてのアプリがパスワードの代わりに指紋スキャナーを使用できるように見えます。 つまり、Galaxy S5指紋スキャナーを使用してPayPalで送金し、パスワードアプリにアクセスできます。 残念ながら、それはおそらくあなたの指紋をスプーフィングする悪役もそれを行うことができることを意味します。 スキャナーへのこのより広範なアクセスにより、第三者が技術によって生成された機密情報にアクセスできる可能性があります。
私は、サムスンが以下の質問に対する回答を提供することを丁重にリクエストします。 最初のものを除くすべては、昨年アップルに提起した質問とほとんど同じです。
(1)SamsungはGalaxy S5の指紋スキャナーで生成された指紋データをどのくらい正確に保護しますか?
(2)ローカルに保存された指紋データを、第三者が使用できるデジタル形式または視覚形式に変換することは可能ですか?
(3)Galaxy S5から指紋データを抽出して取得することは可能ですか? その場合、これはリモートで実行できますか、またはデバイスに物理的にアクセスして実行できますか?
(4)指紋データはユーザーのコンピューターにバックアップされますか? 指紋データはクラウドまたはSamsungサーバーにバックアップされますか?
(5)Galaxy S5は、指紋スキャナーシステムに関する診断情報をSamsungまたは他の第三者に送信しますか? その場合、どのような情報が送信されますか?
(6)Samsungアプリとサードパーティアプリは指紋スキャナーとどのように相互作用しますか? これらのアプリによって指紋スキャナーシステムから収集される情報、および指紋データに関連する識別子やハッシュなど、これらのやり取りに関連するサムスンによって収集される情報は何ですか?
(7)サムスンの指紋スキャン技術の今後の計画は何ですか? ニュースレポートが示唆するように、タブレットデバイスにテクノロジーを展開しますか?
(8)Samsungは、Galaxy S5指紋データを抽出または操作するために必要なツールまたはその他の情報とともに、指紋データを商用の第三者と決して共有しないことをユーザーに保証できますか?
(9)Samsungは、Galaxy S5指紋データを抽出または操作するために必要なツールまたはその他の情報と共に、適切な法的権限とプロセスがない場合、政府と指紋データを決して共有しないことをユーザーに保証できますか?
(10)アメリカのプライバシー法の下では、法執行機関は企業に令状なしに通信の「内容」を開示することを強要できず、企業は顧客の同意なしに第三者とその情報を共有できません。 しかし、「加入者…または顧客に関する記録またはその他の情報」は、顧客の同意なしに第三者に自由に開示でき、原因のない裁判所命令の発行時に法執行機関に開示できます。 さらに、「加入者番号または身元」は、単純な召喚状で政府に開示できます。 一般的に18 USC§2702-2703を参照してください。
サムスンは、指紋データを通信、顧客または加入者の記録の「コンテンツ」、またはStored Communications Actで定義されている「加入者番号またはID」と見なしていますか?
(11)米国intelligence報法の下で、連邦捜査局は、特定の外国intelligence報調査に関連するとみなされる場合、「有形のもの(書籍、記録、書類、文書、およびその他のアイテムを含む)」の作成を要求する命令を求めることができます。 50 USC§1861を参照してください。
サムスンは、米国愛国者法で定義されている指紋データを「具体的なもの」と見なしていますか?
(12)米国intelligence報法の下で、連邦捜査局は、通信プロバイダーに「加入者情報」または「保管または所有する電子通信取引記録」の開示を強制する国家安全保障書を一方的に発行できます。 国家安全保障の手紙には、通常、ギャグ命令が含まれています。つまり、受信者は、手紙を受け取ったことを開示できません。 たとえば、18 USC§2709を参照してください。
サムスンは、ストアードコミュニケーション法で定義されているように、指紋データを「サブスクライバー情報」または「電子通信トランザクションレコード」と見なしますか?
(13)Samsungは、ユーザーが指紋スキャナーに提供する指紋データのプライバシーを合理的に期待していると考えていますか?
私は、消費者向けモバイルデバイスに指紋技術を採用することをやめようとはしていません。 強力なセーフガードを採用すると、この技術は便利で有益であることが証明される可能性があります。 むしろ、私の目標は、合理的な最も安全な方法でこのテクノロジーを展開し、企業が生体情報の機密情報をどのように扱っているかに関する公的な記録を作成することを企業に促すことです。
これらの質問にご協力いただきありがとうございます。 この手紙を受け取ってから1か月以内にSamsungに回答してもらうようお願いします。
