Um novo recurso anti-spoofing está prestes a ser introduzido para Android que fará com que os mecanismos de autenticação biométrica mais seguro.
Como foi explicado pelo Google:
Para manter os usuários seguros, a maioria das aplicações e dispositivos têm um mecanismo de autenticação, ou uma forma de provar que você é você. Esses mecanismos se enquadram em três categorias: fatores de conhecimento, fatores de posse, e fatores biométricos. Fatores de conhecimento pedem algo que você sabe (como um PIN ou uma senha), fatores de posse pedem algo que você tem (como um gerador de token ou chave de segurança), e fatores biométricos pedem algo que você é (como sua impressão digital, íris, ou cara).
Thew New Biometrics Explained
A partir do momento, o sistema de autenticação biométrica do Android usa duas métricas - Taxa de aceitação falsa (LONGE) e taxa de rejeição falsa (FRR). Eles são implantados junto com técnicas de aprendizado de máquina com a ideia de medir a exatidão e a precisão da entrada do usuário.
No caso da biometria, FAR mede a frequência com que um modelo biométrico acidentalmente classifica uma entrada incorreta como pertencente ao usuário alvo. Em outras palavras, isso mostra quantas vezes outro usuário é falsamente reconhecido como o proprietário legítimo do dispositivo, Google disse.
De maneira semelhante, O FRR calcula a frequência com que um modelo biométrico acidentalmente classifica a biometria do usuário como incorreta, o que mostra a frequência com que o proprietário legítimo do dispositivo precisa tentar novamente a autenticação. O primeiro é uma preocupação de segurança, enquanto o segundo é problemático para usabilidade, nas próprias palavras do Google.
Contudo, em alguns casos, alguns scanners biométricos permitiriam aos usuários autenticar com maiores taxas de falsa aceitação. Isso deixa os dispositivos abertos a ataques de spoofing. Segundo a empresa, nenhuma técnica de métrica é boa o suficiente para identificar com precisão se a entrada biométrica é de fato uma tentativa de um hacker de obter acesso ao dispositivo por meio de ataques de spoofing ou impostor.
assim, para melhorar isso, O Google agora está adicionando duas novas métricas às existentes - Taxa de aceitação de falsificação (SAR) e taxa de aceitação do Imposter (E). Estes seriam particularmente responsáveis por um invasor.
“Como seus nomes sugerem, essas métricas medem a facilidade com que um invasor pode contornar um esquema de autenticação biométrica,” Vishwath Mohan, um engenheiro de segurança com a equipe do Google Android, explicado na postagem do blog. Além desta:
Começando no Android P, os desenvolvedores podem usar a API BiometricPrompt para integrar autenticação biométrica em seus aplicativos em um dispositivo e de forma biométrica agnóstica. BiometricPrompt expõe apenas modalidades fortes, para que os desenvolvedores possam ter certeza de um nível consistente de segurança em todos os dispositivos em que seus aplicativos são executados. Uma biblioteca de suporte também é fornecida para dispositivos que executam Android O e anteriores, permitindo que os aplicativos utilizem as vantagens desta API em mais dispositivos.