Una nuova funzionalità di anti-spoofing sta per essere introdotto per Android che renderà meccanismi di autenticazione biometrica più sicura.
Come spiegato da Google:
Per mantenere gli utenti al sicuro, maggior parte delle applicazioni e dispositivi hanno un meccanismo di autenticazione, o un modo per dimostrare che sei. Questi meccanismi si dividono in tre categorie: fattori di conoscenza, fattori possesso, e fattori biometrici. fattori della conoscenza chiedono qualcosa che si sa (come un PIN o una password), Fattori possesso chiedono qualcosa che hai (come un generatore di token o chiave di sicurezza), e fattori biometrici chiedono qualcosa si è (come la vostra impronta digitale, iris, o la faccia).
Thew Nuovo biometria Explained
Come del momento, il sistema di autenticazione biometrica Android utilizza due metriche - False Accept Rate (LONTANO) e False Reject Rate (FRR). Questi sono distribuiti insieme con tecniche di apprendimento automatico con l'idea di misurare accuratezza e precisione di input dell'utente.
Nel caso di biometria, misure FAR quante volte un modello biometrico classifica i accidentalmente un ingresso non corretto come appartenente al utente di destinazione. In altre parole, questo dimostra quanto spesso un altro utente è falsamente riconosciuto come il legittimo proprietario del dispositivo, Google ha detto.
In un modo simile, FRR calcola quante volte un modello biometrico classifica accidentalmente biometrico dell'utente come errata che mostra quante volte un proprietario del dispositivo legittima deve riprovare l'autenticazione. Il primo è un problema di sicurezza, mentre il secondo è problematico per l'usabilità, nelle parole di Google.
Tuttavia, in alcuni casi alcuni scanner biometrici dovrebbero consentire agli utenti di autenticarsi con più alti tassi di accettazione falsi. Questo lascia dispositivi aperti agli attacchi di spoofing. Secondo la società, nessuna tecnica metriche è abbastanza buono per identificare con precisione se l'ingresso biometrico è in realtà un tentativo di un hacker per ottenere l'accesso al dispositivo tramite spoofing o impostore attacchi.
Così, per migliorare questo, Google è ora l'aggiunta di due nuove metriche a quelle già esistenti - Spoof Accetta Tasso (SAR) e Imposter Accetta Tasso (IAR). Questi sarebbero particolarmente conto di un attaccante.
“Come suggerisce il nome, queste metriche misurano quanto facilmente un utente malintenzionato può ignorare uno schema di autenticazione biometrica,” Vishwath Mohan, un ingegnere della sicurezza con il team di Google Android, ha spiegato nel post del blog. In aggiunta a questo:
A partire dal Android P, sviluppatori possono utilizzare l'API BiometricPrompt di integrare l'autenticazione biometrica nelle loro applicazioni in un dispositivo e un modo agnostico biometrico. BiometricPrompt espone solo modalità forti, per cui gli sviluppatori possono essere certi di un livello omogeneo di sicurezza in tutti i dispositivi loro applicazione gira su. Una libreria di supporto è prevista anche per i dispositivi che eseguono Android O e precedenti, consentendo alle applicazioni di utilizzare i vantaggi di questa API attraverso più dispositivi.