谷歌Android P，要讓安卓系統更安全

文 |流蘇

編輯 |圖圖

隨著指紋掃描和面部解鎖等生物解鎖等身份驗證機制在 Android 用戶群體中變得越來越受歡迎，Google 必須作出提升安全性的改進，以便為用戶提供更好的隱私保護。

預防偽裝攻擊

Google 希望能打造一個通用平台，以便開發者將基於生物識別的身份驗證方案集成到他們的 app 中，這個平台就是Android P。

安卓生物識別認證系統使用兩種度量：錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)，結合機器學習技術來更好地衡量用戶輸入的準度和精度。

然而，單單依靠錯誤通過率（FAR）和錯誤拒絕率（FRR）這兩個度量維度不足以識別欺騙攻擊。其無法識別出用戶所輸入的生物識別數據是否是攻擊者通過欺騙或偽裝攻擊進行的未認證訪問。

而Android P將包含四個維度：錯誤通過率（FAR）、錯誤拒絕率（FRR）、惡搞接受率（SAR）、以及冒名頂替接受率（IAR）。四個維度按照演算法計算將給 Android 用戶提供更加正確、精準的生物識別解鎖，以及預防潛在的欺騙或旁路攻擊。

強生物識別策略

據 Google 稱，生物識別技術是保持用戶安全的重要組成部分。目前，應用程序和設備通常利用知識因素（Knowledge factors），擁有因素（possession factors）和生物識別因素（biometrics factors）進行認證機制。

知識因素通常包括PIN 和密碼，擁有因素包括令牌生成器或安全密鑰，而生物識別因素包括指紋，虹膜或用戶的臉部。

此次，Google為Android P引入新的生物識別身份驗證。

基於用戶的生物識別輸入，SAR/IAR 度量值明確它是否是「強生物認證」（值低於或等於7%），還是「弱生物認證」（值高於7%）。如果這些值低於弱生物認證值，那麼當解鎖設備或應用時，Andorid P 將執行嚴格的認證策略。

如果持續 4 小時沒有使用，系統還會要求用戶重新輸入密碼、圖案、PIN、或強生物特徵來解鎖他們的設備。此外，Android P 用戶將無法通過薄弱的生物識別技術，來驗證支付或類似的交易。

生物識別認證機制正變得越來越流行，而且很容易明白其中的原因。它們比輸入密碼更快，比攜帶單獨的安全密鑰更容易，並且它們可以防止基於知識因素的身份驗證的風險。

藉助 Android P，Google 希望為測量生物識別安全性提供更好的模型，限制較弱的身份驗證方法，並為人員提供一個通用平台和入口點，以便輕鬆集成該功能。

除了系統的安全，Google 也希望第三方應用開發者能夠享受到這一益處，於是提供了一個簡單易用的 BiometricPrompt API，以便將這項增強功能整合到他們的 app 中。因此，即便是 Android Oreo，也能夠獲益於此。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！