Android Pie zawiera wiele mało brzmiących, ale bardzo istotnych zmian w rdzeniu Androida. Widzimy to w każdej zaktualizowanej wersji Androida i często te zmiany dotyczą bezpieczeństwa. Google ma żywotny interes w utrzymaniu Androida na tyle bezpiecznym, aby przeciętny użytkownik nie musiał się martwić o tym, jak lub dlaczego - firma potrzebuje Cię w Internecie i korzysta z usług internetowych, aby zrobić pieniądze. W Android Pie widzimy jedną dużą zmianę w najwygodniejszej rzeczy, jaka kiedykolwiek zdarzyła się zapewnić bezpieczeństwo telefonu: biometrii.
Biometria pozwala części z was udowodnić, że tak jest naprawdę ty.
Biometria to „sztuka” korzystania z unikalnej dla Ciebie funkcji ciała jako bezpiecznego sposobu identyfikacji. Najbardziej znamy skanery linii papilarnych, ale dane biometryczne obejmują rozpoznawanie twarzy i skanowanie tęczówki a nawet drukowanie głosu. Wszystko, co jest wyjątkowe ty może być wykorzystana jako Twoja tożsamość z odpowiednim sprzętem i algorytmami do jej analizy. Skanowanie linii papilarnych ułatwia zablokowanie ekranu telefonu, az punktu widzenia użytkownika jest to właśnie to, co skłoniło ludzi do tego. Następnym krokiem będzie dokładne rozpoznawanie twarzy. Widzimy już firmy używające go i nazywające go bezpiecznym, a od czasu Ice Cream Sandwich jest częścią Androida, chociaż Google powie Ci, że nie jest to bezpieczna metoda odblokowywania danych.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
To się wkrótce zmieni. Wraz z Androidem 9 firma Google dodała całkowicie nowy model bezpieczeństwa dla biometrii. Opierając się na zestawie funkcji wprowadzonym w Android 8.0, Google ma nowy sposób weryfikacji dokładności danych biometrycznych, nowy zestaw funkcji, które mogą wykorzystać pomysł do testowania dokładności, nowy model, który dzieli zabezpieczenia biometryczne w słabe i mocne, a wreszcie w publiczny interfejs API, z którego programiści mogą korzystać, aby wykorzystać to, gdy potrzebują prawidłowo zidentyfikować użytkownik.
Co sprawia, że dane biometryczne są „mocne”?
Google przedstawił to, co nazywa metrykami SAR / IAR (Spuf ZAakceptacja Rzjadłem / jamposter ZAakceptacja Rate), które mierzą, w jaki sposób i jak łatwo osoba atakująca (to często używane przez specjalistów od zabezpieczeń słowo „osoba, która chce mieć Twój telefon”) może obejść prawidłowo zbudowaną implementację zabezpieczeń biometrycznych. Pomyśl o kimś, kto używa dobrego zdjęcia Twojej twarzy, aby oszukać odblokowanie twarzy, a to fałszowanie, zmieniając wygląd, aby oszukać skaner twarzy, gdy próbuje oszukać.
Te wyniki SAR / IAR są używane do określenia, czy system bezpieczeństwa biometrycznego jest silny lub słaby. Przy użyciu wyniku 7% (co oznacza 93% procent skuteczności w 100% przypadków), ponieważ jest to wynik przyznawany prawidłowej implementacji skanera linii papilarnych w nowoczesnym telefonie z Androidem jako punktu odniesienia, silna biometria będzie miała dostęp, którego słabe dane biometryczne nie będą miały.
Obie metody są w porządku, aby odblokować telefon. Jednak dane biometryczne sklasyfikowane jako słabe nie będą w stanie uwierzytelnić płatności ani uzyskać dostępu do klucza związanego z uwierzytelnianiem (a specjalny klucz uwierzytelniający utworzony przez aplikację wyłącznie na własny użytek) dla dowolnego rodzaju środków pieniężnych transakcje. Będziesz także musiał użyć silnej funkcji biometrycznej lub ręcznie wprowadzić hasło lub kod PIN po czterech godzinach nieużywania telefonu, jeśli używasz słabych danych biometrycznych do logowania. Co najważniejsze, słabe dane biometryczne nie będą w stanie użyć nowego interfejsu API Android Pie BiometricPrompt, aby powiedzieć, że naprawdę jesteś sobą.
Pozwól Google wykonać pracę, a programiści używają interfejsu API
Interfejs API BiometricPrompt zależy od silnych cech biometrycznych zwracających wartość, która mówi, że jesteś dopasowany, zanim zadziała. Oznacza to, że trudniej będzie na przykład oszukać skaner twarzy za pomocą zdjęcia. Dzięki możliwości wykorzystania przez każdego programistę zestawu znanych technik silnego uwierzytelniania, programiści nie będą musieli wdrażać własnych ani polegać na słabszych i mniej bezpiecznych metodach. To poważna sprawa dla zespołu ds. Bezpieczeństwa IT w Twoim banku. To także wielka sprawa dla każdego, kto chce mieć pewność, że aplikacja lub usługa jest odpowiednio zbudowana, aby zapewnić bezpieczeństwo Twojej tożsamości i logowania.
Programiści będą mogli korzystać z interfejsu API BiometricPrompt z biblioteką obsługi, aby umożliwić korzyści również starszym wersjom Androida.
Nie zauważymy żadnej różnicy poza brakiem możliwości zastosowania niestandardowych sposobów udowodnienia, kim jesteśmy, aby udzielić dostępu do wrażliwych danych o sobie. Nie musimy zauważać różnicy, a coś takiego jak ten nowy interfejs API jest najlepsze, gdy tego nie robimy - zostało zrobione poprawnie, ponieważ jest niewidoczne dla użytkownika. To właśnie marketingowcy lubią nazywać „magicznymi”, ponieważ nie wiemy lub nie musimy wiedzieć, jak to działa, o ile działa przez cały czas.
Oczekujemy, że Google będzie korzystać z tej nowej funkcji z monitem logowania Pixela 3, a biblioteka pomocy technicznej umożliwia programistom korzystanie z nowego interfejsu API na starszych urządzeniach. To są rodzaje zmian, których Android potrzebuje, aby iść naprzód i wspaniale jest je widzieć. Mam nadzieję, że w praktyce będzie równie skuteczny, jak wygląda na papierze.
Jerry Hildenbrand
Jerry jest mieszkańcem Mobile Nation i jest z tego dumny. Nie ma niczego, czego nie mógłby rozebrać, ale wielu rzeczy nie może złożyć na nowo. Znajdziesz go w sieci Mobile Nations i możesz uderzył go na Twitterze jeśli chcesz powiedzieć hej.