Torta Android ha molte piccole modifiche ma molto significative al nucleo di Android. Lo vediamo con ogni versione aggiornata di Android e spesso queste modifiche riguardano la sicurezza. Google ha un interesse acquisito nel mantenere Android abbastanza sicuro da non dover preoccuparsi l'utente medio sul come o sul perché: l'azienda ha bisogno di te su Internet e utilizza i servizi Internet per fare i soldi. In Android Pie vediamo un grande cambiamento alla cosa più conveniente che sia mai accaduta per proteggere il tuo telefono: la biometria.
La biometria sta permettendo a una parte di te di dimostrare che lo è veramente tu.
La biometria è "l'arte" di utilizzare una caratteristica del corpo unica per te come un modo sicuro per identificarti. Conosciamo meglio gli scanner di impronte digitali, ma la biometria copre il riconoscimento facciale e scansione dell'iride e persino la stampa vocale. Tutto ciò che è unico tu può essere utilizzato come identità con l'attrezzatura e gli algoritmi giusti che lo esaminano. La scansione delle impronte digitali semplifica l'inserimento di un blocco sullo schermo del telefono e, dal punto di vista dell'utente, è ciò che ha indotto le persone a iniziare a farlo. Il prossimo passo sarà un accurato riconoscimento facciale. Vediamo già aziende che lo utilizzano e lo definiscono sicuro, ed è stato parte di Android da Ice Cream Sandwich, anche se Google ti dirà che non è un metodo sicuro per sbloccare i tuoi dati.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Sta per cambiare. Con Android 9, Google ha aggiunto un modello di sicurezza completamente nuovo per la biometria. Basandosi su un set di funzionalità introdotto in Android 8.0, Google ha un nuovo modo per verificare l'accuratezza dei dati biometrici, un nuovo insieme di funzionalità che possono utilizzare l'idea per testare l'accuratezza, un nuovo modello che divide sicurezza biometrica in debole e forte, e infine un'API pubblica che gli sviluppatori possono utilizzare per attingere a questa ogni volta che hanno bisogno di identificare correttamente il utente.
Cosa rende la biometria "forte"?
Google ha introdotto quelle che chiama metriche SAR / IAR (Spuff UNaccettazione Rmangiò / iomposter UNaccettazione Rmangiato) che misurano come e quanto facilmente un utente malintenzionato (questa è la parola comune che i professionisti della sicurezza usano per "persona che vuole nel tuo telefono") può aggirare un'implementazione della sicurezza biometrica costruita correttamente. Pensa a qualcuno che usa una buona foto del tuo viso per ingannare lo sblocco facciale e che sta facendo uno spoofing mentre cambia il tuo aspetto per ingannare uno scanner facciale mentre Imposter tenta.
Questi punteggi SAR / IAR vengono utilizzati per determinare se un sistema di sicurezza biometrico lo è forte o debole. Utilizzando un punteggio del 7% (che significa 93% percento effettivo il 100% delle volte) perché questo è il punteggio assegnato a una corretta implementazione di uno scanner di impronte digitali in un moderno telefono Android come linea di base, la biometria forte avrà accesso a quella debole.
Entrambi i metodi possono essere utilizzati per sbloccare il telefono. Ma i dati biometrici classificati come deboli non saranno in grado di autenticarsi per i pagamenti o accedere a una chiave associata all'autenticazione (a chiave di autenticazione speciale che un'app ha creato solo per il proprio uso) per qualsiasi tipo di moneta transazioni. Ti verrà inoltre richiesto di utilizzare una potente funzione biometrica o inserire manualmente una password o un pin dopo quattro ore di non utilizzo del telefono se utilizzi dati biometrici deboli per accedere. Ancora più importante, la biometria debole non sarà in grado di utilizzare la nuova API Android Pie BiometricPrompt per dire che sei davvero te stesso.
Lascia che sia Google a fare il lavoro e che gli sviluppatori utilizzino un'API
L'API BiometricPrompt dipende da forti caratteristiche biometriche che restituiscono un valore che indica che sei una corrispondenza prima che agisca con successo. Ciò significa che sarà più difficile ingannare uno scanner facciale con una foto, ad esempio. Avendo un modo per ogni sviluppatore di attingere a una serie di tecniche di autenticazione forte note, gli sviluppatori non dovranno implementare le proprie o dipendere da metodi più deboli e meno sicuri. Questo è un grosso problema per il team di sicurezza IT della tua banca. È anche un grosso problema per chiunque voglia fidarsi del fatto che un'app o un servizio sia costruito correttamente per mantenere la tua identità e il tuo accesso al sicuro.
Gli sviluppatori potranno utilizzare l'API BiometricPrompt con una libreria di supporto per consentire anche alle versioni precedenti di Android di trarne vantaggio.
Non noteremo alcuna differenza se non quella di non essere in grado di utilizzare modi inferiori agli standard per dimostrare chi siamo per dare accesso a dati sensibili su noi stessi. Non abbiamo bisogno di notare una differenza e qualcosa come questa nuova API è la migliore quando non lo facciamo: è stato fatto correttamente perché è invisibile all'utente. È quello che le persone di marketing amano chiamare "magico", perché non sappiamo o abbiamo bisogno di sapere come funziona fintanto che funziona tutto il tempo.
Ci aspettiamo che Google utilizzi questa nuova funzionalità con il prompt di accesso di Pixel 3 e una libreria di supporto consente a uno sviluppatore di utilizzare la nuova API su dispositivi meno recenti. Questi sono i tipi di modifiche che Android deve portare avanti ed è bello vederli realizzati. Speriamo che abbia tanto successo nella pratica quanto sembra sulla carta.
Jerry Hildenbrand
Jerry è il nerd residente di Mobile Nation e ne è orgoglioso. Non c'è niente che non possa smontare, ma molte cose che non può riassemblare. Lo troverai attraverso la rete Mobile Nations e potrai farlo lo ha colpito su Twitter se vuoi dire ciao.