Minnesota Senatörü Al Franken'in mahremiyetiniz ve Galaxy S5 üzerindeki parmak izi tarayıcınız hakkında birkaç sorusu var ve bazı cevaplar almak için Samsung'a bir mektup gönderdi. İPhone 5S'nin parmak izi tarama teknolojisiyle giriş yaptığı Franken'in geçen yıl aynı şeyi yaptığını gördük, bu yüzden şaşırdığımızı söyleyemeyiz.
Parmak izleri sırrın tam tersidir. Onları gün boyunca dokunacağınız sayısız nesneye bırakıyorsunuz: arabanızın kapısını, bir bardak suyu, hatta akıllı telefonunuzun ekranını bile. Parolaların aksine, parmak izleri değiştirilemez. Bilgisayar korsanları parmak izinizin dijital bir kopyasını alırsa, özellikle parmak izi kimlik doğrulamaya daha fazla sayıda teknoloji dayanmaya başladığında, sizi hayatınızın geri kalanında taklit etmek için kullanabilirler. - Senatör Franken
Senatör Franken, Samsung'un parmak izi tarayıcıyı kullanırken kullanıcı verilerini gizli tutmak için adımlar attığını, ancak bilgisayar korsanlığı ve Samsung'un alabilecekleri herhangi bir veriyle ne yapmayı planladıklarıyla ilgili endişeleri giderdiğini kabul ediyor.
Genel olarak, Franken aslında işini yapıyor ve seçmenlerini arıyor. Mektubun metni yazılıdır.
Kaynak: Senatör Al Franken
13 Mayıs 2014
Oh-Hyun Kwon, CEO'su Samsung Electronics Co., Ltd. Samsung Ana Binası 250, Taepyeongno 2-ga, Jung-gu Seul, 100-742, Kore
Sayın Gregory Lee, CEO Elektronik Elektronik Kuzey Amerika 85 Challenger Road Ridgefield Park, NJ 07660
Sevgili Dr. Kwon ve Bay Lee:
Kısa süre önce satışa sunulan Samsung Galaxy S5 akıllı telefonunda parmak izi tarama teknolojisine yönelik gizlilik korumaları hakkında sormak için yazıyorum. Samsung'un parmak izi tarayıcısının göründüğü kadar güvenli olamayacağına dair haberler ile ilgileniyorum - ve bu güvenlik açığı S5 akıllı telefonunda daha geniş güvenlik sorunları yaratabilir. Samsung'un parmak izi tarayıcısıyla ilgili bu ve diğer gizlilik sorularını nasıl ele aldığı hakkında bilgi istemek için yazıyorum.
Parmak izi teknolojisinin güvenlik yararları, pek çok kişinin beklediği kadar net değil. Bir yandan, parmağınızı tokatlamak, karmaşık bir parola kullanmaktan daha kolaydır. Bu nedenle, parmak izi tarayıcısının rahatlığı daha fazla akıllı telefon sahibinin telefonlarını kilitlemesine neden olabilir. Öte yandan, parmak izi tarayıcıları, şifrelerdeki değil, özellikle de şifre doğrulamak yerine kullanmak yerine, kullanılmadıklarında ciddi güvenlik sorunları doğurur. Apple'a Touch ID parmak izi tarayıcılarının piyasaya sürülmesi ile ilgili daha önceki bir mektupta açıkladığım gibi, parmak izleri halka açık ve kalıcı iken şifreler gizli ve dinamiktir. Eğer şifrenizi kimseye söylemezseniz, kimse bilmeyecek. Eğer saldırıya uğrarsa, bir iki dakika içinde değiştirebilirsiniz.
Parmak izleri sırrın tam tersidir. Onları gün boyunca dokunacağınız sayısız nesneye bırakıyorsunuz: arabanızın kapısını, bir bardak suyu, hatta akıllı telefonunuzun ekranını bile. Parolaların aksine, parmak izleri değiştirilemez. Bilgisayar korsanları parmak izinizin dijital bir kopyasını alırsa, özellikle parmak izi kimlik doğrulamaya daha fazla sayıda teknoloji dayanmaya başladığında, sizi hayatınızın geri kalanında taklit etmek için kullanabilirler.
Apple'ın Dokunmatik Kimliği gibi, Galaxy S5'in parmak izi tarayıcısı akıllı telefonun piyasaya çıkmasından birkaç gün sonra saldırıya uğradı. Güvenlik araştırmacıları, her iki tarayıcıyı da bir akıllı telefonun ekranından kaldırılan parmak izinden sahte lastik baskı oluşturarak atladılar.
İlk raporlar ayrıca Galaxy S5'in Touch ID'nin yapmadığı güvenlik endişelerini artırabileceğini gösteriyor. Galaxy S5 parmak izi tarayıcısının parola istemeden sınırsız kimlik doğrulama girişimi sağladığını, ancak Apple'ın Dokunmatik Kimliğinin yalnızca beş başarısız denemeden sonra bir şifre gerektirdiğini bildirdi. Ayrıca, Dokunma Kimliği yalnızca bir cihazın kilidini açmak ve sıkı izlenen bazı Apple uygulamalarına erişmek için kullanılabilirken, Galaxy S5 herhangi bir uygulamanın parola yerine parmak izi tarayıcıyı kullanmasına izin veriyor gibi görünmektedir. Bu, PayPal üzerinden para göndermek ve şifre uygulamanıza erişmek için Galaxy S5 parmak izi tarayıcıyı kullanabileceğiniz anlamına gelir; Maalesef, bu, parmak izlerinizi taklit eden kötü oyuncuların da bunu yapabileceği anlamına geliyor. Tarayıcıya bu daha geniş erişim, üçüncü tarafların teknoloji tarafından üretilen hassas bilgilere erişmelerine izin verebilir.
Saygılarımla, Samsung'un aşağıdaki sorulara cevap vermesini rica ediyorum. Bunlardan ilki hariç, geçen yıl Apple’a sorduğum sorularla neredeyse aynı.
(1) Samsung, Galaxy S5'in parmak izi tarayıcısı tarafından oluşturulan parmak izi verilerini tam olarak nasıl güvence altına alıyor?
(2) Yerel olarak depolanan parmak izi verilerini üçüncü taraflarca kullanılabilecek dijital veya görsel bir formata dönüştürmek mümkün mü?
(3) Bir Galaxy S5'ten parmak izi verisi elde etmek ve elde etmek mümkün müdür? Eğer öyleyse, bu uzaktan yapılabilir veya cihaza fiziksel olarak erişilebilir mi?
(4) Parmak izi verileri bir kullanıcının bilgisayarına yedeklenecek mi? Parmak izi verileri buluta veya Samsung sunucularına yedeklenecek mi?
(5) Galaxy S5, parmak izi tarayıcı sistemi hakkında herhangi bir tanı bilgisini Samsung'a veya başka bir tarafa iletiyor mu? Eğer öyleyse, hangi bilgiler iletilir?
(6) Samsung uygulamaları ve üçüncü taraf uygulamaları parmak izi tarayıcıyla tam olarak nasıl etkileşime giriyor? Parmak izi tarayıcı sistemindeki uygulamalar tarafından hangi bilgiler toplanır ve Samsung tarafından parmak izi verileriyle ilgili tanımlayıcılar veya karmalar da dahil olmak üzere, bu etkileşimlerle ilişkili hangi bilgiler toplanır?
(7) Samsung'un parmak izi tarama teknolojisi için gelecekteki planları nelerdir? Haber raporlarının önerdiği gibi teknolojiyi tablet cihazlarına dağıtacak mı?
(8) Samsung, kullanıcılarına, parmak izi verilerini, Galaxy S5 parmak izi verilerini çıkarmak ya da işlemek için gerekli araçlar ya da başka herhangi bir üçüncü şahısla hiçbir zaman paylaşmayacağından emin olabilir mi?
(9) Samsung, kullanıcılarına, parmak izi verilerini, Galaxy S5 parmak izi verilerini çıkarmak ya da işlemek için gerekli araçlarla ya da başka herhangi bir hükümetle, uygun bir yasal otorite ya da süreç olmadan paylaşmak zorunda kalacağı konusunda güvence altına alabilir mi?
(10) Amerikan gizlilik yasası uyarınca, kanun uygulayıcı kurumlar şirketleri iletişimin "içeriğini" emri olmadan ifşa etmeye zorlayamazlar ve şirketler bu bilgileri müşteri rızası olmadan üçüncü şahıslarla paylaşamazlar. Bununla birlikte, "bir abone … veya müşteriyle ilgili kayıt veya diğer bilgiler" müşteri izni olmadan herhangi bir üçüncü tarafa ücretsiz olarak ifşa edilebilir ve olası olmayan bir mahkeme emrinin verilmesi üzerine kanun uygulayıcıya ifşa edilebilir. Ayrıca, basit bir mahkeme celbi ile devlete bir "abone numarası veya kimliği" açıklanabilir. Bkz. Genel olarak 18 USC § 2702-2703.
Samsung, parmak izi verilerinin, Kayıtlı İletişim Yasasında tanımlandığı şekilde iletişimin, içeriğin, müşteri veya abone kayıtlarının "içeriği" veya "abone numarası veya kimliği" olduğunu düşünüyor mu?
(11) Amerikan İstihbarat Yasası uyarınca, Federal Soruşturma Bürosu, bazı yabancı istihbarat incelemeleriyle ilgili sayılırsa “herhangi bir maddi şeyin (kitaplar, kayıtlar, belgeler, belgeler ve diğer nesneler dahil)” üretilmesini gerektiren bir emir isteyebilir.. 50 USC § 1861'e bakınız.
Samsung, parmak izi verilerinin ABD PATRIOT Yasasında tanımlandığı şekilde “somut şeyler” olduğunu düşünüyor mu?
(12) Amerikan istihbarat kanunu uyarınca, Federal Soruşturma Bürosu tek taraflı olarak telekomünikasyon sağlayıcılarını "abone bilgilerini" veya "gözaltında veya elinde bulundurduğu elektronik iletişim işlem kayıtlarını" ifşa etmeye zorlayan bir Ulusal Güvenlik Mektubu yayınlayabilir. Ulusal Güvenlik Mektupları tipik olarak bir tıkaç emri içerir, yani alıcılar mektubu aldıklarını açıklayamazlar. Bakınız, örneğin, 18 USC § 2709.
Samsung, Parmak İzi verilerinin "Abone Bilgisi" veya "Elektronik Haberleşme İşlem Kayıtları" olarak mı saklanıyor?
(13) Samsung, parmak izi tarayıcıya sağladıkları parmak izi verilerinde kullanıcıların makul bir gizlilik beklentisine sahip olduğuna inanıyor mu?
Tüketici mobil cihazları için parmak izi teknolojisinin benimsenmesini engellemeye çalışmıyorum. Güçlü güvenlik önlemleriyle benimsenirse, bu teknoloji kullanışlı ve faydalı olabilir. Aksine, amacım şirketleri bu teknolojiyi en güvenli şekilde en uygun şekilde kullanmaya teşvik etmek - ve şirketlerin hassas biyometrik bilgileri nasıl ele aldıkları konusunda halka açık bir kayıt oluşturmak.
Zaman ayırdığınız ve bu sorulara dikkat ettiğiniz için teşekkür ederiz. Samsung'un bu mektubu aldıktan sonraki bir ay içinde onlara cevap vermesini rica ediyorum.
