Android Pie ima veliko jedro, a zelo pomembnih sprememb v jedru Androida. To vidimo pri vsaki nadgrajeni različici Androida in pogosto te spremembe obkrožajo varnost. Google si močno prizadeva, da bi bil Android dovolj varen, da povprečnega uporabnika ni treba skrbeti o tem, kako ali zakaj - podjetje vas potrebuje v internetu in uporablja internetne storitve denarja. V Android Pie vidimo eno veliko spremembo najbolj priročne stvari, ki se je kdaj zgodila, da je vaš telefon zaščiten: biometrični podatki.
Biometrija omogoča, da del vas dokaže, da je res ti.
Biometrija je "umetnost" uporabe posebne funkcije telesa kot varnega načina za prepoznavanje sebe. Najbolj smo seznanjeni z optičnimi bralniki prstnih odtisov, vendar biometrija zajema prepoznavanje obraza in skeniranje šarenice in celo tiskanje glasu. Vse, kar je edinstveno ti lahko uporabite kot svojo identiteto s pravo opremo in algoritmi, ki jo gledajo. Optično branje prstnih odtisov olajša zaklepanje zaslona telefona in z vidika uporabnika je to tisto, zaradi česar so ljudje začeli to početi. Naslednji korak bo natančno prepoznavanje obraza. Že vidimo podjetja, ki jo uporabljajo in jo imenujejo varno, in je del Androida že od Ice Cream Sandwicha, čeprav vam bo Google sporočil, da ni varna metoda za odklepanje vaših podatkov.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
To se bo kmalu spremenilo. Google je z Androidom 9 dodal povsem nov varnostni model za biometrijo. Nadgrajuje nabor funkcij, uveden v Android 8.0, Google ima nov način za preverjanje natančnosti biometričnih podatkov, nov nabor funkcij, s pomočjo katerih lahko idejo preizkusi natančnost, nov model, ki se razcepi biometrično varnost v šibko in močno in na koncu javni API, ki ga lahko razvijalci uporabijo, kadar koli to potrebujejo za pravilno prepoznavanje uporabnik.
Kaj naredi biometrijo "močno"?
Google je predstavil tako imenovane meritve SAR / IAR (Spuf Asprejem Rjedel / jazmposter Asprejem Rate), ki merijo, kako in kako enostavno lahko napadalec (to je običajna beseda varnostni profesionalci, ki se uporablja za "osebo, ki hoče v vašem telefonu") obide pravilno zgrajeno biometrično varnostno izvedbo. Pomislite na nekoga, ki uporablja dobro fotografijo vašega obraza, da bi zavedel odklepanje obraza, in to je lažno predstavljanje, medtem ko spreminja način, na katerega izgledate, da zavede skener obraza, ko poskuša Imposter.
Te ocene SAR / IAR se uporabljajo za ugotavljanje, ali gre za biometrični varnostni sistem močna ali šibka. Uporaba ocene 7% (to pomeni 93% odstotkov učinkovito 100% časa), ker je to ocena, ki jo dobimo za pravilno izvedbo optičnega bralnika prstnih odtisov v sodobnem telefonu Android kot izhodišče, bodo močne biometrije imele dostop, šibke biometrije pa ne.
Oba načina sta v redu za odklepanje telefona. Toda biometrični podatki, ki so razvrščeni kot šibki, ne bodo mogli preveriti pristnosti za plačila ali dostopati do ključa, povezanega z avtentičnostjo ( poseben ključ za preverjanje pristnosti, ki ga je aplikacija ustvarila samo za lastno uporabo) za katero koli vrsto denarja transakcij. Če boste za prijavo uporabljali šibke biometrične podatke, boste po štirih urah neuporabe telefona morali uporabiti močno biometrično funkcijo ali ročno vnesti geslo ali PIN. Najpomembneje pa je, da šibka biometrija ne bo mogla uporabiti novega API-ja za Android Pie BiometricPrompt, da bi rekla, da ste resnično vi.
Dovolite Googlu, da dela, razvijalci pa uporabljajo API
API BiometricPrompt je odvisen od močnih biometričnih funkcij, ki vrnejo vrednost, ki pravi, da se ujemate, preden deluje kot uspešna. To pomeni, da bo na primer skener obraza težje zavajati s fotografijo. Ker imajo vsi razvijalci način, kako lahko izkoristijo nabor znanih močnih tehnik za preverjanje pristnosti, razvijalcem ne bo treba izvajati svojih ali pa bodo odvisni od šibkejših in manj varnih metod. To je velika težava za ekipo za informacijsko varnost v vaši banki. Veliko pomeni tudi vsakogar, ki želi zaupati, da je aplikacija ali storitev pravilno zgrajena za zaščito vaše identitete in prijave.
Razvijalci bodo lahko uporabljali API BiometricPrompt s knjižnico podpore, da bodo lahko koristile tudi starejše različice Androida.
Razlike ne bomo opazili razen tega, da ne bomo mogli uporabiti podstandardnih načinov dokazovanja, kdo smo, da bi omogočili dostop do občutljivih podatkov o sebi. Ni nam treba opaziti razlike in nekaj takega kot ta novi API je najboljše, če tega ne storimo - pravilno je bilo narejeno, ker je uporabniku nevidno. Ljudje, ki trženje radi imenujejo "čarobni", saj ne vemo ali moramo vedeti, kako deluje, če deluje ves čas.
Pričakujemo, da bo Google to novo funkcijo uporabil s pozivom za prijavo za Pixel 3, knjižnica podpore pa razvijalcu omogoča uporabo novega API-ja v starejših napravah. To so vrste sprememb, ki jih mora Android napredovati, in čudovito je videti, da so to storjene. Tu upamo, da bo v praksi tako uspešen, kot se zdi na papirju.
Jerry Hildenbrand
Jerry je prebivalec Mobile Nation in ponosen na to. Ničesar ne bi mogel razstaviti, marsičesa pa ne bi mogel znova sestaviti. Našli ga boste v omrežju Mobile Nations in to lahko storite ga udaril na Twitterju če hočeš reči hej.