Android Taart heeft veel kleine klinkende, maar zeer belangrijke veranderingen aan de Android core. We zien dat met elke versie van Android, en vaak worden deze veranderingen rondom veiligheid. Google heeft een belang in het houden van Android veilig genoeg is dat de gemiddelde gebruiker niet hoeft te maken over het hoe of het waarom — het bedrijf moet u op het internet en het gebruik van de diensten van internet om geld te verdienen. In Android Taart zien we een grote verandering in de meest gunstige ding dat ooit gebeurd is, houden je telefoon veilig: biometrie.
Biometrie is het verhuren van een deel van je bewijzen dat het echt bent.
Biometrie is de “kunst” van het gebruik van een unieke lichaam hebben als een veilige manier om jezelf te identificeren. We zijn het meest vertrouwd met vingerafdruk-scanners, maar biometrie dekking van gezichtsherkenning en de iris te scannen en zelfs voice afdrukken. Iets dat op een unieke manier die u kan worden gebruikt als uw identiteit met de juiste apparatuur en algoritmen naar te kijken. Het scannen van vingerafdrukken maakt het gemakkelijk om te zetten een lock op het scherm van uw telefoon, en vanuit een gebruikers oogpunt, het is wat de mensen gaan doen. De volgende stap zal zijn nauwkeurige gezichtsherkenning. Zijn er al bedrijven die gebruik maken van het bellen en beveiligen, en het is een onderdeel van Android sinds Ice Cream Sandwich, maar Google zal je vertellen het is geen veilige methode om uw gegevens te ontgrendelen.
Dat gaat veranderen. Met Android 9, Google heeft een volledig nieuw beveiligingsmodel voor biometrie. Voortbouwend op een feature-set geïntroduceerd in Android 8.0, Google heeft een nieuwe manier om te controleren of de juistheid van de biometrische gegevens, een nieuwe set van functies die kunnen gebruik maken van het idee voor het testen van de nauwkeurigheid, een nieuw model splitst biometrische beveiliging in zwak en sterk, en tot slot een publieke API, die ontwikkelaars kunnen gebruiken om te boren in dit wanneer ze nodig hebben om goed te identificeren van de gebruiker.
Wat maakt biometrie “sterk”?
Google introduceerde wat zij noemt SAR/IAR statistieken (Spoof Eencceptance Rate / ikmposter Eencceptance Rate) die meten hoe, en hoe eenvoudig het is om een aanvaller (dat is het gewone woord security pro ‘ s gebruiken voor de “persoon die wil in uw telefoon”) kunt rond te krijgen een goed gebouwd biometrische beveiliging implementatie. Denk aan iemand met een goede foto van je gezicht te gek face unlock en dat is spoofing terwijl het veranderen van de manier waarop je kijkt naar een dwaas gezicht scanner als Oplichter probeert.
Geruimd en de zwakke is hard werken. Gelukkig, Google doet het al.
Deze SAR/IAR scores zijn gebruikt om te bepalen of een systeem van biometrische beveiliging is sterk of zwak. Met een score van 7% (dat betekent dat 93% effectief 100% van de tijd), want dat is de score die gegeven wordt aan een goede uitvoering van een vingerafdruk scanner in een moderne Android-telefoon als de baseline, sterke biometrie zal hebben dat de toegang tot de zwakke biometrie niet.
Beide methoden zijn OK om het gebruik van uw telefoon te ontgrendelen. Maar biometrie geclassificeerd als zwak, niet in staat om te verifiëren voor betalingen of toegang tot een auth-gebonden toets (een speciale authenticatie sleutel die een app heeft gemaakt alleen voor eigen gebruik) voor elk type van financiële transacties. U zult ook gevraagd worden om een sterk biometrische functie of handmatig invoeren van een wachtwoord of pin-na vier uur van uw telefoon niet gebruikt als u zwak biometrie om in te loggen. Belangrijker nog, zwak biometrie niet in staat zijn om het gebruik van de nieuwe Android-Pie BiometricPrompt API te zeggen dat je echt bent.
Laat Google het werk doen en ontwikkelaars gebruik maken van een API
De BiometricPrompt API is afhankelijk van sterke biometrische kenmerken een waarde retourneren die zegt dat je een wedstrijd voor het fungeert als succesvol. Dit betekent dat het moeilijker is om gek van een gezicht scanner met een foto, bijvoorbeeld. Door het hebben van een weg voor elke ontwikkelaar in te tikken in een set van bekende sterke authenticatie technieken gebruiken, ontwikkelaars niet bij de uitvoering van hun eigen of afhankelijk zijn van de zwakkere en minder veilige methoden. Dit is een big deal voor de IT-security-team van uw bank. Het is ook een big deal voor iedereen die wil om erop te vertrouwen dat een app of service is goed gebouwd om uw identiteit en login veilig.
Ontwikkelaars kunnen gebruik maken van de BiometricPrompt API met ondersteuning van de bibliotheek te kunnen oudere versies van Android te profiteren, ook.
We zullen geen verschil merken, andere dan het niet kunnen gebruiken van sub-standaard manieren van bewijzen, wie zijn wij om toegang te krijgen tot gevoelige data over onszelf. Hebben We niet nodig om een verschil te merken, en iets van deze nieuwe API is het beste als we niet — het is correct gedaan, omdat het onzichtbaar is voor de gebruiker. Het is wat marketing mensen willen noemen “magische,” omdat we niet weten of hoeven te weten hoe het werkt zolang het werkt op alle van de tijd.
We verwachten van Google om gebruik te maken van deze nieuwe functie met de functie Pixel 3 de login prompt, en een ondersteuning van de bibliotheek kan een ontwikkelaar voor het gebruik van de nieuwe API op oudere apparaten. Dit zijn de soorten van wijzigingen Android moet om vooruit te gaan en het is heerlijk om te zien hen gedaan. Hier is de hoop haar zo succesvol in de praktijk als het er uit ziet op papier.