Android-P kommer att ha en hel del små klingande men mycket betydande förändringar Android kärna. Vi ser att med varje ny version av Android, och ofta är dessa förändringar kring säkerhet. Google har ett egenintresse i att hålla Android säker nog att den genomsnittliga användaren inte behöver oroa sig om hur eller varför — företaget behöver dig på internet och att använda internet för att tjäna pengar. I Android-P vi får se en stor förändring till det mest bekväma sak som någonsin hänt att hålla telefonen säker: biometri.
Biometri är att låta en del av er bevisa att det verkligen är du.
Biometri är “konst” med hjälp av en unik-att-du kroppen har som ett säkert sätt för att identifiera dig. Vi är mest bekanta med fingeravtryck skannrar, men biometri täcka ansiktsigenkänning och iris-scanning och ens röst utskrift. Något som är unikt du kan vara används som din identitet med rätt utrustning och algoritmer för att titta på det. Skanning av fingeravtryck gör det lätt att sätta ett lås på telefonens skärm, och ur användarens synvinkel, det är vad som fick människor att börja göra det. Nästa steg kommer att vara korrekt ansiktsigenkänning. Vi ser redan ett företag som använder det och kalla det säkert, och det har varit en del av eftersom Android Ice Cream Sandwich även om Google kommer att berätta för dig att det är inte en säker metod för att låsa upp din data.
Det handlar om att ändra. Med Android-P, Google är att lägga en helt ny modell för säkerhet för biometri. Bygger på en uppsättning funktioner som introducerades i Android 8.0, Google har ett nytt sätt att kontrollera riktigheten av biometriska data, en ny uppsättning funktioner som kan använda idén för att testa riktigheten, en ny modell som delar biometriska säkerhetslösningar till svaga och starka, och slutligen ett publikt API som utvecklare kan använda för att utnyttja detta när de behöver för att kunna identifiera användaren.
Vad gör biometri “stark”?
Google infört vad man kallar SAR/IAR statistik (Spoff Encceptance Rate / jagmposter Encceptance Rate) som mäter hur, och hur snabbt kan en angripare (som är det gemensamma ordet säkerhet proffsen använder för “person som vill i telefonen”) kan komma runt en korrekt byggd biometriska säkerhetslösningar genomförande. Tänk på någon som använder en bra bild av ditt ansikte för att lura face unlock och det är spoofing medan du ändrar hur du ser ut att lura ett ansikte scanner som Bedragare försök.
Skyddsjakt de svaga är hårt arbete. Tack och lov, Google gör det.
Dessa SAR/IAR poäng används för att avgöra om en biometriska säkerhetssystem är stark eller svag. Med en poäng på 7% (93% procent effektivt 100% av tiden), eftersom det är det betyg som ges till ett korrekt genomförande av en fingeravtrycksläsare i en modern Android-telefon som utgångspunkt, stark biometri kommer att ha tillgång till att svaga biometri kommer inte.
Båda metoderna är OK att använda för att låsa upp telefonen. Men biometri klassificeras som svaga kommer inte att kunna autentisera för betalningar eller för åtkomst till en auth-bundna nyckel (en speciell autentisering-tangenten för att en app har skapat endast för eget bruk) för någon typ av monetära transaktioner. Du ska också vara skyldiga att använda en stark biometriska funktion eller manuellt ange ett lösenord eller en pin-kod efter fyra timmar av att inte använda telefonen om du använder svaga biometri för att logga in. Viktigast av allt, svag biometri kommer inte att kunna använda den nya Android-P BiometricPrompt API för att säga att du verkligen är du.
Låt Google göra jobbet och utvecklare använder ett API
Den BiometricPrompt API beror på en stark biometriska funktioner returnerar ett värde som säger att du är en match innan det fungerar som framgångsrik. Detta innebär att det kommer att bli svårare att lura ett ansikte skanner med ett foto, till exempel. Genom att ha ett sätt för alla utvecklare att utnyttja en uppsättning kända stark autentisering tekniker, utvecklare inte har att genomföra sina egna eller beror på svagare och mindre säkra metoder. Detta är en stor sak att IT-säkerhetsgruppen på din bank. Det är också en stor sak för alla som vill kunna lita på att en app eller tjänst är korrekt byggd för att hålla din identitet och logga in säkert.
Utvecklare kommer att kunna använda BiometricPrompt API med stöd för bibliotek att göra det möjligt för äldre versioner av Android till nytta också.
Vi kommer inte att märka någon skillnad annat än att inte kunna använda sub-standard sätt att bevisa vem vi är till för att ge tillgång till känslig data om oss själva. Vi behöver inte märka en skillnad, och något som detta nya API är som bäst när vi inte — det var gjort på rätt sätt eftersom det är osynliga för användaren. Det är vad marknadsföring som folk gillar att kalla “magiskt”, eftersom vi inte vet eller behöver veta hur det fungerar så länge det fungerar hela tiden.
Vi förväntar oss att Google att använda sig av denna nya funktion med Pixel 3 login-prompt, och ett stöd bibliotek kan en utvecklare för att använda det nya API på äldre enheter. Dessa är de typer av förändringar som Android måste gå framåt och det är kul att se dem gjort. Här hoppas dess lika bra i praktiken som det ser ut på pappret.