Al Franken 미네소타 상원 의원은 귀하의 개인 정보 및 Galaxy S5의 지문 스캐너에 대해 몇 가지 질문을했으며 일부 답변을 얻기 위해 삼성에 편지를 보냈습니다. 우리는 작년에 iPhone 5S가 지문 스캐닝 기술로 데뷔했을 때 Franken이 똑같은 일을하는 것을 보았습니다.
지문은 비밀과 반대입니다. 자동차 문, 물 한 잔, 심지어 스마트 폰 화면까지 하루 종일 만지는 무수한 물체에 두십시오. 암호와 달리 지문을 변경할 수 없습니다. 해커가 지문의 디지털 사본을 얻는 경우, 특히 지문 인증에 점점 더 많은 기술이 사용되기 시작하면서 지문을 사용하여 평생 동안 가장 할 수 있습니다. - 프랑켄 상원 의원
Franken 상원 의원은 삼성이 지문 스캐너를 사용할 때 사용자 데이터를 비공개로 유지하기위한 조치를 취했지만 해킹에 대한 우려와 삼성이 조달 할 수있는 모든 데이터를 어떻게 처리 할 것인지에 대해 설명합니다.
일반적으로 Franken은 실제로 자신의 일을하고 있으며 자신의 구성원을 찾고 있습니다. 편지의 사본은 다음과 같습니다.
출처: 알 프랑켄 상원 의원
2014 년 5 월 13 일
서울시 중구 태평로 2가 250 삼성 빌딩 삼성 전자 대표 이사 권 오현 박사
Mr. Gregory Lee, 삼성 전자 북미 CEO 85 Challenger Road Ridgefield Park, NJ 07660
권 박사님과 이씨 께:
최근에 판매 된 Samsung Galaxy S5 스마트 폰의 지문 스캔 기술에 대한 개인 정보 보호에 대해 질문하고 있습니다. 삼성의 지문 스캐너가 생각보다 안전하지 않을 수 있으며 이러한 보안 격차가 S5 스마트 폰에서 더 큰 보안 문제를 야기 할 수 있다는보고가 우려됩니다. 삼성이 지문 스캐너에 대한 이러한 개인 정보 보호 문제를 해결하는 방법에 대한 정보를 요청하고 있습니다.
지문 기술의 보안 이점은 많은 사람들이 기대하는 것만 큼 명확하지 않습니다. 한편으로는 복잡한 비밀번호를 누르는 것보다 손가락을 문지르는 것이 더 쉽습니다. 따라서 지문 스캐너의 편리함으로 인해 더 많은 스마트 폰 소유자가 실제로 전화를 잠글 수 있습니다. 반면에 지문 스캐너는 암호 확인이 아닌 암호를 사용하는 대신 암호를 사용하지 않을 때 발생하는 심각한 보안 문제를 일으 킵니다. 터치 ID 지문 스캐너 롤아웃과 관련하여 Apple에 대한 이전 서신에서 설명한 것처럼 암호는 비밀스럽고 역동적이며 지문은 공개적이고 영구적입니다. 다른 사람에게 비밀번호를 말하지 않으면 아무도 알 수 없습니다. 해킹 당하면 1-2 분 안에 변경할 수 있습니다.
지문은 비밀과 반대입니다. 자동차 문, 물 한 잔, 심지어 스마트 폰 화면까지 하루 종일 만지는 무수한 물체에 두십시오. 암호와 달리 지문을 변경할 수 없습니다. 해커가 지문의 디지털 사본을 얻는 경우, 특히 지문 인증에 점점 더 많은 기술이 사용되기 시작하면서 지문을 사용하여 평생 동안 가장 할 수 있습니다.
Apple의 Touch ID와 마찬가지로 Galaxy S5의 지문 스캐너는 스마트 폰 출시 후 며칠 동안 해킹당했습니다. 보안 연구원들은 스마트 폰 화면에서 들어온 지문으로 가짜 고무 프린트를 만들어 두 스캐너를 모두 우회했습니다.
초기 보고서에 따르면 Galaxy S5는 Touch ID와 달리 보안 문제를 제기 할 수 있습니다. 갤럭시 S5 지문 스캐너는 비밀번호 프롬프트없이 무제한 인증 시도를 허용하는 반면 애플의 터치 ID는 5 번의 시도 실패 후 비밀번호를 요구합니다. 또한 Touch ID는 장치 잠금을 해제하고 엄격하게 모니터링되는 특정 Apple 앱에 액세스하는 데만 사용할 수 있지만 Galaxy S5는 모든 앱이 암호 대신 지문 스캐너를 사용할 수 있도록 허용합니다. 즉, Galaxy S5 지문 스캐너를 사용하여 PayPal로 송금하고 비밀번호 앱에 액세스 할 수 있습니다. 안타깝게도 지문을 스푸핑하는 나쁜 행위자도 그렇게 할 수 있습니다. 스캐너에 대한 이러한 광범위한 액세스는 잠재적으로 타사가 기술에 의해 생성 된 민감한 정보에 액세스 할 수있게합니다.
삼성이 다음 질문에 대한 답변을 제공 할 것을 정중하게 요청합니다. 첫 번째를 제외한 나머지는 작년에 Apple에 제기 한 질문과 거의 동일합니다.
(1) Samsung은 Galaxy S5의 지문 스캐너에서 생성 된 지문 데이터를 정확히 어떻게 보호합니까?
(2) 로컬에 저장된 지문 데이터를 타사에서 사용할 수있는 디지털 또는 시각적 형식으로 변환 할 수 있습니까?
(3) Galaxy S5에서 지문 데이터를 추출하여 얻을 수 있습니까? 그렇다면 원격으로 또는 장치에 물리적으로 액세스하여 수행 할 수 있습니까?
(4) 지문 데이터가 사용자의 컴퓨터에 백업됩니까? 지문 데이터가 클라우드 또는 삼성 서버에 백업됩니까?
(5) Galaxy S5는 지문 스캐너 시스템에 대한 진단 정보를 Samsung 또는 다른 당사자에게 전송합니까? 그렇다면 어떤 정보가 전송됩니까?
(6) Samsung 앱과 타사 앱은 지문 스캐너와 정확히 어떻게 상호 작용합니까? 지문 스캐너 시스템에서 해당 앱이 수집 한 정보와 지문 데이터와 관련된 식별자 또는 해시를 포함하여 이러한 상호 작용과 관련하여 Samsung이 수집 한 정보는 무엇입니까?
(7) 지문 스캔 기술에 대한 삼성의 향후 계획은 무엇입니까? 뉴스 보도에서 알 수 있듯이 태블릿 장치에 기술을 배포 할 예정입니까?
(8) Samsung은 Galaxy S5 지문 데이터를 추출하거나 조작하는 데 필요한 도구 또는 기타 정보와 함께 지문 데이터를 상용 타사와 공유하지 않을 것을 사용자에게 보장 할 수 있습니까?
(9) 삼성은 적절한 법적 권한과 절차가 없으면 정부와 Galaxy S5 지문 데이터를 추출하거나 조작하는 데 필요한 도구 또는 기타 정보와 함께 지문 데이터를 공유하지 않을 것이라고 사용자에게 보장 할 수 있습니까?
(10) 미국 개인 정보 보호법에 따라 법 집행 기관은 회사가 영장없이 커뮤니케이션의 "내용"을 공개하도록 강요 할 수 없으며 회사는 고객의 동의없이 해당 정보를 제 3 자와 공유 할 수 없습니다. 그러나 "구독자 또는 고객과 관련된 기록 또는 기타 정보"는 고객의 동의없이 제 3 자에게 자유롭게 공개 할 수 있으며, 가능성이없는 대법원 명령을 내릴 경우 법 집행 기관에 공개 할 수 있습니다. 더욱이, "구독자 번호 또는 신원"은 간단한 소환장으로 정부에 공개 될 수 있습니다. 일반적으로 18 USC § 2702-2703을 참조하십시오.
삼성은 지문 데이터를 통신, 고객 또는 가입자 기록의 "컨텐츠"또는 Stored Communications Act에 정의 된 "가입자 번호 또는 ID"로 간주합니까?
(11) 미국 정보 법에 따라, 연방 수사 국은 특정 외국 정보 조사와 관련이있는 것으로 간주되는 경우 "모든 유형의 물건 (서적, 기록, 서류, 문서 및 기타 품목 포함)"의 생산을 요구하는 명령을 요구할 수 있습니다.. 50 USC § 1861을 참조하십시오.
삼성은 지문 데이터를 USA PATRIOT Act에 정의 된 "유형의 물건"으로 간주합니까?
(12) 미국 정보 법에 따라, 연방 수사 국 (Federal Bureau of Investigation)은 통신 제공자에게 "구독자 정보"또는 "전자 통신 거래 기록을 보관 또는 소지하고 있음"을 공개하도록 국가 안보 서한을 일방적으로 발행 할 수 있습니다. 국가 안보 서신에는 일반적으로 개그 명령이 포함되어 있는데, 이는 수령인이 서신을 받았음을 공개 할 수 없다는 의미입니다. 예를 들어 18 USC § 2709를 참조하십시오.
삼성은 Stored Communications Act에 정의 된대로 지문 데이터를 "가입자 정보"또는 "전자 통신 거래 기록"으로 간주합니까?
(13) 삼성은 사용자가 지문 스캐너에 제공하는 지문 데이터에 대한 개인 정보 보호에 대한 합리적인 기대를 가지고 있다고 생각합니까?
소비자 모바일 장치에 대한 지문 기술의 채택을 권장하지 않습니다. 강력한 보호 장치를 채택하면이 기술은 편리하고 유익한 것으로 입증 될 수 있습니다. 오히려 저의 목표는 회사가이 기술을 가장 안전한 방식으로 배포하도록 권장하고 회사가 민감한 생체 정보를 어떻게 취급하고 있는지에 대한 공개 기록을 만드는 것입니다.
시간을내어이 질문들에 관심을 가져 주셔서 감사합니다. 이 서한을받은 후 한 달 안에 삼성이 답변 해 줄 것을 요청합니다.
