安卓推出新的反欺骗功能，确保生物认证的安全性

生物特征认证，如指纹、虹膜或人脸识别技术，通过显著提高速度和安全性，简化了解锁设备和应用程序的过程。

尽管生物识别系统也存在一些无法被任何人隐藏的陷阱，但正如过去多次证明的那样，大多数生物识别扫描仪都容易受到欺骗攻击，而且在大多数情况下，欺骗他们是非常容易的。

谷歌今天宣布了一种改进生物特征安全性的更好模式，该模式将从Android P上提供，允许移动应用开发者在其应用程序中集成一种增强机制，以确保用户数据的安全。

用于识别欺骗和冒名顶替攻击的新生物特征度量

目前，安卓生物认证系统使用两个指标—；错误接受率（FAR）和错误拒绝率（FRR）—；结合机器学习技术来测量用户输入的准确性和精确度。

简而言之，“错误接受率”定义了生物特征模型意外将错误输入分类为属于目标用户的频率，“错误拒绝率”记录了生物特征模型意外将用户的生物特征分类为错误的频率。

此外，为了方便用户，一些生物识别扫描仪还允许用户以比通常更高的错误接受率成功进行身份验证，从而使设备容易受到欺骗攻击。

谷歌表示，所有给定的指标都不足以准确识别用户输入的生物特征数据是否是攻击者试图使用任何欺骗或冒名顶替攻击进行未经授权的访问。

为了解决这个问题，除了FAR和FRR，谷歌现在引入了两个新指标—；欺骗接受率（SAR）和冒名顶替者接受率（IAR）—；这在威胁模型中明确说明了攻击者的原因。

谷歌安卓团队的安全工程师Vishwath Mohan说：“正如他们的名字所示，这些指标衡量攻击者绕过生物认证方案的容易程度。”。

“欺骗是指使用已知良好的记录（例如，重放语音记录或使用人脸或指纹图片），而冒名顶替者接受是指成功模仿另一用户的生物特征（例如，试图听起来或看起来像目标用户）。”

谷歌将实施强有力的生物认证政策

根据用户的生物特征输入，SAR/IAR度量的值定义它是“强生物特征”（值小于或等于7%）还是“弱生物特征”身份验证（值大于7%）。

解锁设备或应用程序时，如果这些值属于弱生物特征，Android P将对用户实施严格的身份验证策略，如下所示：

• 如果设备处于非活动状态至少4小时（如放在桌子上或充电时），它将提示用户重新输入其主PIN、图案、密码或强生物识别信息。
• 如果您的设备无人看管72小时，系统将对弱生物识别和强生物识别执行上述政策。
• 为了额外的安全性，使用弱生物特征认证的用户将无法付款或参与涉及密钥库认证绑定密钥的其他交易。

除此之外，谷歌还将提供一个新的易于使用的生物特征提示API，开发者可以使用该API在应用程序中建立一个强大的身份验证机制，通过完全阻止两个新添加的指标检测到的弱生物特征验证，确保用户的最大安全性。

Mohan说：“BiometricPrompt只公开了强大的模式，因此开发者可以确保其应用程序运行的所有设备具有一致的安全级别。”。

“还为运行Android O及更早版本的设备提供了支持库，允许应用程序在更多设备上利用此API的优势。”

这项新功能将通过锁定设备来削弱绕过生物特征扫描仪的已知方法，从而积极防止小偷、间谍和执法机构对设备进行未经授权的访问。