Thượng nghị sĩ bang Minnesota Al Franken có một vài câu hỏi về quyền riêng tư của bạn và máy quét dấu vân tay trên Galaxy S5, và đã gửi thư cho Samsung để nhận được câu trả lời. Chúng ta đã thấy Franken làm điều tương tự vào năm ngoái khi iPhone 5S ra mắt với công nghệ quét vân tay, vì vậy chúng ta không thể nói rằng chúng ta ngạc nhiên.
Dấu vân tay là đối nghịch của bí mật. Bạn để chúng trên vô số đồ vật mà bạn chạm vào suốt cả ngày: cửa xe, ly nước, thậm chí cả màn hình điện thoại thông minh của bạn. Và không giống như mật khẩu, dấu vân tay không thể thay đổi. Nếu tin tặc nắm giữ một bản sao kỹ thuật số của dấu vân tay của bạn, họ có thể sử dụng nó để mạo danh bạn đến hết cuộc đời, đặc biệt khi ngày càng có nhiều công nghệ bắt đầu dựa vào xác thực dấu vân tay. - Thượng nghị sĩ Franken
Thượng nghị sĩ Franken thừa nhận rằng Samsung đã thực hiện các bước để giữ kín dữ liệu người dùng khi họ đang sử dụng máy quét dấu vân tay, nhưng ông giải quyết các lo ngại về việc hack và Samsung dự định làm gì với bất kỳ dữ liệu nào họ có thể mua.
Nói chung, Franken thực sự đang làm công việc của mình và tìm kiếm các thành phần của mình. Bảng điểm của bức thư sau.
Nguồn: Thượng nghị sĩ Al Franken
Ngày 13 tháng 5 năm 2014
Tiến sĩ Oh-Hyun Kwon, Giám đốc điều hành Samsung Electronics Co., Ltd. Samsung Main Building 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Hàn Quốc
Ông Gregory Lee, Giám đốc điều hành Samsung Electronics North America 85 Challenger Road Ridgefield Park, NJ 07660
Kính gửi bác sĩ Kwon và ông Lee:
Tôi viết thư để hỏi bạn về các biện pháp bảo vệ quyền riêng tư đối với công nghệ quét vân tay trên điện thoại thông minh Samsung Galaxy S5, gần đây đã được bán. Tôi lo ngại bởi các báo cáo rằng máy quét dấu vân tay của Samsung có thể không an toàn như vẻ ngoài của nó - và những lỗ hổng bảo mật đó có thể tạo ra các vấn đề bảo mật rộng hơn trên điện thoại thông minh S5. Tôi viết thư để yêu cầu thông tin về cách Samsung giải quyết những vấn đề này và các câu hỏi riêng tư khác về máy quét dấu vân tay của mình.
Lợi ích bảo mật của công nghệ vân tay không rõ ràng như nhiều người mong đợi. Một mặt, việc vuốt ngón tay của bạn dễ dàng hơn so với việc lấy ra một mật khẩu phức tạp. Do đó, sự tiện lợi của máy quét dấu vân tay có thể khiến nhiều chủ sở hữu điện thoại thông minh thực sự khóa điện thoại của họ. Mặt khác, máy quét dấu vân tay nêu lên các vấn đề bảo mật cấp tính mà mật khẩu không có - đặc biệt là khi chúng được sử dụng thay vì thay vì xác minh mật khẩu. Như tôi đã giải thích trong một lá thư trước đó cho Apple về việc triển khai máy quét vân tay Touch ID của họ, mật khẩu là bí mật và năng động, trong khi dấu vân tay là công khai và vĩnh viễn. Nếu bạn không nói cho ai biết mật khẩu của mình, sẽ không ai biết nó. Nếu nó bị hack, bạn có thể thay đổi nó trong một hoặc hai phút.
Dấu vân tay là đối nghịch của bí mật. Bạn để chúng trên vô số đồ vật mà bạn chạm vào suốt cả ngày: cửa xe, ly nước, thậm chí cả màn hình điện thoại thông minh của bạn. Và không giống như mật khẩu, dấu vân tay không thể thay đổi. Nếu tin tặc nắm giữ một bản sao kỹ thuật số của dấu vân tay của bạn, họ có thể sử dụng nó để mạo danh bạn đến hết cuộc đời, đặc biệt khi ngày càng có nhiều công nghệ bắt đầu dựa vào xác thực dấu vân tay.
Giống như Touch ID của Apple, máy quét dấu vân tay của Galaxy S5 đã bị hack vài ngày sau khi phát hành điện thoại thông minh. Các nhà nghiên cứu bảo mật đã bỏ qua cả hai máy quét bằng cách tạo ra một bản in cao su giả từ dấu vân tay được nhấc lên khỏi màn hình của điện thoại thông minh.
Các báo cáo ban đầu cũng cho thấy Galaxy S5 có thể làm tăng mối lo ngại về bảo mật mà Touch ID không có. Máy quét dấu vân tay Galaxy S5 được cho là cho phép thử xác thực không giới hạn mà không cần nhắc mật khẩu, trong khi Touch ID của Apple yêu cầu mật khẩu chỉ sau năm lần thử không thành công. Hơn nữa, trong khi Touch ID chỉ có thể được sử dụng để mở khóa thiết bị và truy cập một số ứng dụng Apple được giám sát chặt chẽ, Galaxy S5 dường như cho phép mọi ứng dụng sử dụng máy quét dấu vân tay thay vì mật khẩu. Điều này có nghĩa là bạn có thể sử dụng máy quét vân tay Galaxy S5 để gửi tiền trên PayPal và truy cập ứng dụng mật khẩu của bạn; thật không may, điều đó có nghĩa là các diễn viên xấu giả mạo dấu vân tay của bạn cũng có thể làm điều đó. Quyền truy cập rộng hơn vào máy quét này có khả năng cho phép các bên thứ ba truy cập thông tin nhạy cảm do công nghệ tạo ra.
Tôi trân trọng yêu cầu Samsung cung cấp câu trả lời cho các câu hỏi sau đây. Tất cả trừ câu hỏi đầu tiên gần như giống hệt với những câu hỏi tôi đặt ra cho Apple năm ngoái.
(1) Samsung bảo mật chính xác dữ liệu vân tay do máy quét vân tay của Galaxy S5 tạo ra như thế nào?
(2) Có thể chuyển đổi dữ liệu vân tay được lưu trữ cục bộ thành định dạng kỹ thuật số hoặc hình ảnh có thể được sử dụng bởi các bên thứ ba không?
(3) Có thể trích xuất và lấy dữ liệu vân tay từ Galaxy S5 không? Nếu vậy, điều này có thể được thực hiện từ xa, hoặc với quyền truy cập vật lý vào thiết bị?
(4) Dữ liệu vân tay có được sao lưu vào máy tính của người dùng không? Dữ liệu vân tay sẽ được sao lưu lên đám mây hoặc máy chủ Samsung?
(5) Galaxy S5 có truyền bất kỳ thông tin chẩn đoán nào về hệ thống quét vân tay cho Samsung hoặc bất kỳ bên nào khác không? Nếu vậy, thông tin nào được truyền đi?
(6) Chính xác các ứng dụng Samsung và ứng dụng bên thứ ba tương tác với máy quét dấu vân tay như thế nào? Những thông tin nào được thu thập bởi các ứng dụng đó từ hệ thống quét vân tay và thông tin nào được Samsung thu thập liên quan đến các tương tác đó, bao gồm cả định danh hoặc băm liên quan đến dữ liệu vân tay?
(7) Các kế hoạch tương lai của Samsung cho công nghệ quét vân tay là gì? Nó sẽ triển khai công nghệ trên các thiết bị máy tính bảng của mình, như các báo cáo tin tức cho thấy?
(8) Samsung có thể đảm bảo với người dùng của mình rằng họ sẽ không bao giờ chia sẻ dữ liệu vân tay của họ, cùng với các công cụ hoặc thông tin cần thiết khác để trích xuất hoặc thao tác dữ liệu vân tay của Galaxy S5 với bất kỳ bên thứ ba thương mại nào không?
(9) Samsung có thể đảm bảo với người dùng của mình rằng họ sẽ không bao giờ chia sẻ dữ liệu vân tay của họ, cùng với các công cụ hoặc thông tin cần thiết khác để trích xuất hoặc thao tác dữ liệu vân tay của Galaxy S5, với bất kỳ chính phủ nào, không có thẩm quyền và quy trình pháp lý phù hợp?
(10) Theo luật riêng tư của Mỹ, các cơ quan thực thi pháp luật không thể buộc các công ty tiết lộ "nội dung" của thông tin liên lạc mà không có lệnh và các công ty không thể chia sẻ thông tin đó với bên thứ ba mà không có sự đồng ý của khách hàng. Tuy nhiên, "hồ sơ hoặc thông tin khác liên quan đến thuê bao … hoặc khách hàng" có thể được tiết lộ tự do cho bất kỳ bên thứ ba nào mà không có sự đồng ý của khách hàng và có thể được tiết lộ cho cơ quan thực thi pháp luật khi ban hành lệnh tòa án không thể xảy ra. Hơn nữa, một "số thuê bao hoặc danh tính" có thể được tiết lộ cho chính phủ với trát đòi hầu tòa đơn giản. Xem chung 18 USC § 2702-2703.
Samsung có coi dữ liệu vân tay là "nội dung" của thông tin liên lạc, hồ sơ khách hàng hoặc thuê bao hay "số thuê bao hoặc danh tính" như được định nghĩa trong Đạo luật Truyền thông được lưu trữ không?
(11) Theo luật tình báo Mỹ, Cục Điều tra Liên bang có thể tìm kiếm một đơn đặt hàng yêu cầu sản xuất "bất kỳ thứ hữu hình nào (bao gồm sách, hồ sơ, giấy tờ, tài liệu và các mặt hàng khác)" nếu chúng được coi là có liên quan đến một số cuộc điều tra tình báo nước ngoài. Xem 50 USC § 1861.
Samsung có coi dữ liệu vân tay là "những thứ hữu hình" như được định nghĩa trong Đạo luật PATRIOT của Hoa Kỳ không?
(12) Theo luật tình báo Mỹ, Cục Điều tra Liên bang có thể đơn phương ban hành Thư An ninh Quốc gia buộc các nhà cung cấp viễn thông tiết lộ "thông tin thuê bao" hoặc "hồ sơ giao dịch điện tử trong lưu ký hoặc sở hữu." Thư bảo mật quốc gia thường có một lệnh bịt miệng, có nghĩa là người nhận không thể tiết lộ rằng họ đã nhận được thư. Xem, ví dụ, 18 USC § 2709.
Samsung có coi dữ liệu vân tay là "thông tin thuê bao" hay "hồ sơ giao dịch điện tử" như được định nghĩa trong Đạo luật Truyền thông được lưu trữ không?
(13) Samsung có tin rằng người dùng có kỳ vọng hợp lý về quyền riêng tư trong dữ liệu vân tay họ cung cấp cho máy quét dấu vân tay không?
Tôi không cố gắng ngăn cản việc áp dụng công nghệ vân tay cho các thiết bị di động tiêu dùng. Nếu được áp dụng với các biện pháp bảo vệ mạnh mẽ, công nghệ này có thể chứng minh là thuận tiện và có lợi. Thay vào đó, mục tiêu của tôi là thúc giục các công ty triển khai công nghệ này theo cách an toàn nhất hợp lý - và tạo một hồ sơ công khai xung quanh cách các công ty xử lý thông tin sinh trắc học nhạy cảm.
Cảm ơn bạn đã dành thời gian và quan tâm đến những câu hỏi này. Tôi yêu cầu Samsung trả lời họ trong vòng một tháng sau khi nhận được bức thư này.
