Android Pie heeft veel klein klinkende maar zeer significante wijzigingen in de kern van Android. We zien dat bij elke geüpgradede versie van Android, en vaak hebben deze veranderingen betrekking op de beveiliging. Google heeft er alle belang bij Android zo veilig te houden dat de gemiddelde gebruiker zich geen zorgen hoeft te maken over het hoe of waarom - het bedrijf heeft je nodig op internet en het gebruik van internetdiensten om te maken geld. In Android Pie zien we één grote verandering in het handigste dat ooit is gebeurd om je telefoon te beveiligen: biometrie.
Biometrie laat een deel van jou bewijzen dat het zo is werkelijk u.
Biometrie is de "kunst" van het gebruik van een eigenschap die uniek is voor jou als een veilige manier om jezelf te identificeren. We zijn het meest bekend met vingerafdrukscanners, maar biometrie omvat gezichtsherkenning en irisscanning en zelfs spraakafdrukken. Alles dat uniek is u kan worden gebruikt als uw identiteit met de juiste apparatuur en algoritmen die ernaar kijken. Het scannen van vingerafdrukken maakt het gemakkelijk om het scherm van je telefoon te vergrendelen, en vanuit het oogpunt van de gebruiker is dit wat mensen ertoe heeft aangezet om het te doen. De volgende stap is nauwkeurige gezichtsherkenning. We zien al dat bedrijven het gebruiken en het veilig noemen, en het maakt al deel uit van Android sinds Ice Cream Sandwich, hoewel Google je zal vertellen dat het geen veilige methode is om je gegevens te ontgrendelen.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe onbeperkte lijnen
Dat gaat veranderen. Met Android 9 heeft Google een geheel nieuw beveiligingsmodel voor biometrie toegevoegd. Voortbouwend op een feature-set geïntroduceerd in Android 8.0Heeft Google een nieuwe manier om de nauwkeurigheid van biometrische gegevens te verifiëren, een nieuwe reeks functies die het idee kunnen gebruiken om de nauwkeurigheid te testen, een nieuw model dat biometrische beveiliging in zwak en sterk, en tot slot een openbare API die ontwikkelaars kunnen gebruiken om hier gebruik van te maken wanneer ze de gebruiker.
Wat maakt biometrie "sterk"?
Google introduceerde wat het SAR / IAR-statistieken noemt (Spoef EENacceptatie R.at / ikmposter EENacceptatie R.ate) die meten hoe en hoe gemakkelijk een aanvaller (dat is het gebruikelijke woord dat beveiligingsprofessionals gebruiken voor "persoon die uw telefoon wil") een correct gebouwde biometrische beveiligingsimplementatie kan omzeilen. Denk aan iemand die een goede foto van je gezicht gebruikt om gezichtsontgrendeling voor de gek te houden en dat is spoofing terwijl je de manier verandert waarop je eruitziet om een gezichtsscanner voor de gek te houden, zoals Imposter probeert.
Deze SAR / IAR-scores worden gebruikt om te bepalen of het een biometrisch beveiligingssysteem is sterk of zwak. Met een score van 7% (dat betekent 93% procent effectief 100% van de tijd), want dat is de score die wordt gegeven aan een goede implementatie van een vingerafdrukscanner in een moderne Android-telefoon als basis, zal sterke biometrie toegang hebben die zwakke biometrie niet zal hebben.
Beide methoden zijn OK om te gebruiken om uw telefoon te ontgrendelen. Maar biometrie die als zwak is geclassificeerd, kan niet worden geverifieerd voor betalingen of toegang krijgen tot een auth-gebonden sleutel (een speciale authenticatiesleutel die een app alleen voor eigen gebruik heeft gemaakt) voor elk type geld transacties. U moet ook een sterke biometrische functie gebruiken of handmatig een wachtwoord of pincode invoeren nadat u uw telefoon vier uur niet hebt gebruikt als u zwakke biometrische gegevens gebruikt om in te loggen. Het belangrijkste is dat zwakke biometrische gegevens de nieuwe Android Pie BiometricPrompt API niet kunnen gebruiken om te zeggen dat u echt uzelf bent.
Laat Google het werk doen en ontwikkelaars gebruiken een API
De BiometricPrompt API is afhankelijk van sterke biometrische functies die een waarde retourneren die aangeeft dat u een match bent voordat deze als succesvol fungeert. Dit betekent dat het moeilijker wordt om een gezichtsscanner voor de gek te houden met bijvoorbeeld een foto. Doordat elke ontwikkelaar een manier heeft om gebruik te maken van een reeks bekende sterke authenticatietechnieken, hoeven ontwikkelaars hun eigen technieken niet te implementeren of zijn ze niet afhankelijk van zwakkere en minder veilige methoden. Dit is een groot probleem voor het IT-beveiligingsteam van uw bank. Het is ook een groot probleem voor iedereen die erop wil vertrouwen dat een app of service correct is gebouwd om uw identiteit en login veilig te houden.
Ontwikkelaars kunnen de BiometricPrompt API gebruiken met een ondersteuningsbibliotheek, zodat ook oudere versies van Android hiervan kunnen profiteren.
We zullen geen ander verschil merken dan het niet kunnen gebruiken van ondermaatse manieren om te bewijzen wie we zijn om toegang te geven tot gevoelige gegevens over onszelf. We hoeven geen verschil op te merken, en zoiets als deze nieuwe API is het beste als we dat niet doen - het is correct gedaan omdat het onzichtbaar is voor de gebruiker. Het is wat marketingmensen 'magisch' noemen, omdat we niet weten of moeten weten hoe het werkt, zolang het maar de hele tijd werkt.
We verwachten dat Google gebruik maakt van deze nieuwe functie met de inlogprompt van de Pixel 3, en een ondersteuningsbibliotheek stelt een ontwikkelaar in staat de nieuwe API op oudere apparaten te gebruiken. Dit zijn de soorten wijzigingen die Android nodig heeft om vooruit te komen en het is geweldig om ze te zien. Ik hoop dat het in de praktijk net zo succesvol is als het op papier lijkt.
Jerry Hildenbrand
Jerry is de vaste nerd van Mobile Nation en daar trots op. Er is niets dat hij niet uit elkaar kan halen, maar veel dingen kan hij niet weer in elkaar zetten. Je vindt hem op het Mobile Nations-netwerk en dat kan sla hem op Twitter als je hey wilt zeggen.