Senator Minnesota Al Franken memiliki beberapa pertanyaan tentang privasi Anda dan pemindai sidik jari pada Galaxy S5, dan telah mengirim surat kepada Samsung untuk mendapatkan beberapa jawaban. Kami telah melihat Franken melakukan hal yang sama tahun lalu ketika iPhone 5S memulai debutnya dengan teknologi pemindaian sidik jari, jadi kami tidak dapat mengatakan kami terkejut.
Sidik jari adalah kebalikan dari rahasia. Anda meninggalkannya pada benda yang tak terhitung jumlahnya yang Anda sentuh sepanjang hari: pintu mobil Anda, segelas air, bahkan layar ponsel cerdas Anda. Dan tidak seperti kata sandi, sidik jari tidak dapat diubah. Jika peretas mendapatkan salinan digital sidik jari Anda, mereka dapat menggunakannya untuk menyamar sebagai Anda selama sisa hidup Anda, terutama karena semakin banyak teknologi mulai mengandalkan otentikasi sidik jari. - Senator Franken
Senator Franken mengakui bahwa Samsung telah mengambil langkah-langkah untuk menjaga kerahasiaan data pengguna ketika mereka menggunakan pemindai sidik jari, tetapi ia mengatasi kekhawatiran tentang peretasan, dan apa yang Samsung rencanakan lakukan dengan data apa pun yang mungkin mereka peroleh.
Secara umum, Franken benar-benar melakukan pekerjaannya dan mencari konstituennya. Transkrip surat berikut.
Sumber: Senator Al Franken
13 Mei 2014
Oh-Hyun Kwon, CEO Samsung Electronics Co, Ltd Bangunan Utama Samsung 250, Taepyeongno 2-ga, Jung-gu Seoul, 100-742, Korea
Tn. Gregory Lee, CEO Samsung Electronics Amerika Utara 85 Challenger Road Ridgefield Park, NJ 07660
Kwon dan Tn. Lee yang terhormat:
Saya menulis untuk bertanya tentang perlindungan privasi untuk teknologi pemindaian sidik jari pada smartphone Samsung Galaxy S5, yang baru-baru ini mulai dijual. Saya prihatin dengan laporan bahwa pemindai sidik jari Samsung mungkin tidak seaman kelihatannya - dan bahwa celah keamanan tersebut dapat menciptakan masalah keamanan yang lebih luas pada smartphone S5. Saya menulis untuk meminta informasi tentang bagaimana Samsung menangani ini dan pertanyaan privasi lainnya tentang pemindai sidik jari.
Manfaat keamanan teknologi sidik jari tidak sejelas yang diharapkan banyak orang. Di satu sisi, lebih mudah menggesek jari Anda daripada mengetikkan kata sandi yang rumit. Dengan demikian, kenyamanan pemindai sidik jari dapat mengakibatkan lebih banyak pemilik smartphone yang benar-benar mengunci ponsel mereka. Di sisi lain, pemindai sidik jari meningkatkan masalah keamanan akut yang tidak dimiliki kata sandi - terutama ketika kata sandi tersebut digunakan alih-alih sebagai tambahan untuk verifikasi kata sandi. Seperti yang saya jelaskan dalam surat sebelumnya kepada Apple tentang peluncuran pemindai sidik jari Touch ID mereka, kata sandi bersifat rahasia dan dinamis, sementara sidik jari bersifat publik dan permanen. Jika Anda tidak memberi tahu siapa pun kata sandi Anda, tidak ada yang akan mengetahuinya. Jika diretas, Anda dapat mengubahnya dalam satu atau dua menit.
Sidik jari adalah kebalikan dari rahasia. Anda meninggalkannya pada benda yang tak terhitung jumlahnya yang Anda sentuh sepanjang hari: pintu mobil Anda, segelas air, bahkan layar ponsel cerdas Anda. Dan tidak seperti kata sandi, sidik jari tidak dapat diubah. Jika peretas mendapatkan salinan digital sidik jari Anda, mereka dapat menggunakannya untuk menyamar sebagai Anda selama sisa hidup Anda, terutama karena semakin banyak teknologi mulai mengandalkan otentikasi sidik jari.
Seperti Apple Touch ID, pemindai sidik jari Galaxy S5 diretas beberapa hari setelah rilis smartphone. Peneliti keamanan melewati kedua pemindai dengan membuat cetakan karet palsu dari sidik jari yang diangkat dari layar smartphone.
Laporan awal juga menunjukkan bahwa Galaxy S5 dapat meningkatkan masalah keamanan yang tidak dimiliki oleh Touch ID. Pemindai sidik jari Galaxy S5 dilaporkan memungkinkan upaya otentikasi tanpa batas tanpa prompt kata sandi, sedangkan ID Sentuh Apple memerlukan kata sandi setelah hanya lima upaya yang gagal. Lebih lanjut, sementara Touch ID hanya dapat digunakan untuk membuka kunci perangkat dan untuk mengakses aplikasi Apple tertentu yang dipantau ketat, Galaxy S5 tampaknya memungkinkan aplikasi apa pun untuk menggunakan pemindai sidik jari alih-alih kata sandi. Ini berarti Anda dapat menggunakan pemindai sidik jari Galaxy S5 untuk mengirim uang di PayPal dan mengakses aplikasi kata sandi Anda; Sayangnya, itu mungkin berarti bahwa aktor jahat yang menipu sidik jari Anda dapat melakukannya juga. Akses yang lebih luas ke pemindai ini berpotensi memungkinkan pihak ketiga untuk mengakses informasi sensitif yang dihasilkan oleh teknologi.
Dengan hormat saya meminta agar Samsung memberikan jawaban atas pertanyaan-pertanyaan berikut. Semua kecuali yang pertama hampir identik dengan pertanyaan yang saya ajukan ke Apple tahun lalu.
(1) Bagaimana tepatnya Samsung mengamankan data sidik jari yang dihasilkan oleh pemindai sidik jari Galaxy S5?
(2) Apakah mungkin untuk mengkonversi data sidik jari yang disimpan secara lokal menjadi format digital atau visual yang dapat digunakan oleh pihak ketiga?
(3) Apakah mungkin untuk mengekstrak dan mendapatkan data sidik jari dari Galaxy S5? Jika demikian, dapatkah ini dilakukan dari jarak jauh, atau dengan akses fisik ke perangkat?
(4) Apakah data sidik jari akan dicadangkan ke komputer pengguna? Apakah data sidik jari akan dicadangkan ke cloud atau ke server Samsung?
(5) Apakah Galaxy S5 mentransmisikan informasi diagnostik tentang sistem pemindai sidik jari ke Samsung atau pihak lain? Jika demikian, informasi apa yang dikirimkan?
(6) Bagaimana tepatnya aplikasi Samsung dan aplikasi pihak ketiga berinteraksi dengan pemindai sidik jari? Informasi apa yang dikumpulkan oleh aplikasi-aplikasi dari sistem pemindai sidik jari, dan informasi apa yang dikumpulkan oleh Samsung terkait dengan interaksi-interaksi itu, termasuk pengidentifikasi atau hash yang terkait dengan data sidik jari?
(7) Apa rencana masa depan Samsung untuk teknologi pemindaian sidik jari? Apakah itu akan menyebarkan teknologi pada perangkat tabletnya, seperti yang disarankan oleh laporan berita?
(8) Dapatkah Samsung meyakinkan penggunanya bahwa ia tidak akan pernah membagikan data sidik jari mereka, bersama dengan alat atau informasi lain yang diperlukan untuk mengekstrak atau memanipulasi data sidik jari Galaxy S5, dengan pihak ketiga komersial?
(9) Dapatkah Samsung meyakinkan penggunanya bahwa ia tidak akan pernah membagikan data sidik jari mereka, bersama dengan alat atau informasi lain yang diperlukan untuk mengekstraksi atau memanipulasi data sidik jari Galaxy S5, dengan pemerintah mana pun, tidak ada otoritas dan proses hukum yang tepat?
(10) Berdasarkan hukum privasi Amerika, lembaga penegak hukum tidak dapat memaksa perusahaan untuk mengungkapkan "isi" komunikasi tanpa surat perintah, dan perusahaan tidak dapat berbagi informasi tersebut dengan pihak ketiga tanpa persetujuan pelanggan. Namun, "catatan atau informasi lain yang berkaitan dengan pelanggan … atau pelanggan" dapat dengan bebas diungkapkan kepada pihak ketiga mana pun tanpa persetujuan pelanggan, dan dapat diungkapkan kepada penegak hukum dengan mengeluarkan perintah pengadilan yang tidak mungkin terjadi. Selain itu, "nomor pelanggan atau identitas" dapat diungkapkan kepada pemerintah dengan panggilan pengadilan sederhana. Lihat secara umum 18 USC § 2702-2703.
Apakah Samsung menganggap data sidik jari sebagai "isi" komunikasi, catatan pelanggan atau pelanggan, atau "nomor atau identitas pelanggan" sebagaimana didefinisikan dalam Undang-Undang Komunikasi Tersimpan?
(11) Di bawah hukum intelijen Amerika, Biro Investigasi Federal dapat mencari perintah yang mensyaratkan produksi "segala sesuatu yang berwujud (termasuk buku, catatan, makalah, dokumen, dan barang-barang lainnya)" jika dianggap relevan dengan penyelidikan intelijen asing tertentu. Lihat 50 USC § 1861.
Apakah Samsung menganggap data sidik jari sebagai "benda nyata" sebagaimana didefinisikan dalam UU PATRIOT AS?
(12) Di bawah hukum intelijen Amerika, Biro Investigasi Federal dapat secara sepihak mengeluarkan Surat Keamanan Nasional yang memaksa penyedia telekomunikasi untuk mengungkapkan "informasi pelanggan" atau "catatan transaksi komunikasi elektronik dalam tahanan atau kepemilikannya." National Security Letters biasanya berisi perintah pembungkaman, yang berarti bahwa penerima tidak dapat mengungkapkan bahwa mereka menerima surat itu. Lihat, misalnya, 18 USC § 2709.
Apakah Samsung menganggap data sidik jari sebagai "informasi pelanggan" atau "catatan transaksional komunikasi elektronik" sebagaimana didefinisikan dalam Undang-Undang Komunikasi Tersimpan?
(13) Apakah Samsung percaya bahwa pengguna memiliki ekspektasi privasi yang wajar dalam data sidik jari yang mereka berikan kepada pemindai sidik jari?
Saya tidak mencoba untuk mencegah adopsi teknologi sidik jari untuk perangkat seluler konsumen. Jika diadopsi dengan perlindungan yang kuat, teknologi ini bisa terbukti nyaman dan bermanfaat. Sebaliknya, tujuan saya adalah mendesak perusahaan untuk menggunakan teknologi ini dengan cara paling aman yang masuk akal - dan membuat catatan publik tentang bagaimana perusahaan memperlakukan informasi biometrik yang sensitif.
Terima kasih atas waktu dan perhatian Anda untuk pertanyaan-pertanyaan ini. Saya meminta Samsung menjawabnya dalam waktu satu bulan setelah menerima surat ini.
