ویژگی ضد جعل جدید در اندروید برای ایجاد امنیت از طریق احراز هویت بیومتریک
گوگل اعلام نمود ویژگی ضد جعل جدیدی به سیستمعامل اندروید خود افزوده است که به وسیله آن مکانیزمهای احراز هویت بیومتریک این سیستمعامل را ایمنتر از قبل میکند. مکانیزمهای بیومتریک شامل: اثر انگشت، تشخیص عنبیه، فناوری تشخیص چهره و غیره میباشند، که توسط آنها فرآیند بازگشایی قفل دستگاهها و برنامهها بسیار سریعتر و ایمنتر میگردد.
با این وجود، مشکلات سیستمهای بیومتریک بر کسی پوشیده نیست، چرا که پیش از این چندین بار آسیبپذیر بودن اسکنرهای بیومتریک در مقابل حملات جعل اثبات شده است و در اغلب موارد، توانستهاند آنها را به راحتی فریب دهند.
معیارهای جدید بیومتریک برای شناسایی حملات جعل
در حال حاضر سیستم احراز هویت بیومتریک اندروید از دو مکانیزم False Accept Rate (FAR) و False Reject Rate (FRR)، در ترکیب با تکنیکهای یادگیری ماشین (machine learning) استفاده میکنند که برای اندازهگیری دقت و صحت ورودیهای کاربر به کار میروند.
به طور خلاصه، False Accept Rate مشخص میکند که مدل بیومتریک چگونه یک کاربر جعلی را به عنوان کاربر اصلی تشخیص میدهد، و در مقابل، False Reject Rate نشان میدهد که مدل بیومتریک چگونه ویژگیهای بیومتریک کاربر اصلی را اشتباه شناسایی میکند.
علاوه بر این، برخی از اسکنرهای بیومتریک برای راحتی کاربران امکان احراز هویت موفقیتآمیز با نرخ اشتباه بالا را فراهم میکنند که این مسئله راه را برای حملات جعل روی دستگاه باز میکند.
گوگل میگوید: هیچ یک از ویژگیهای بیومتریک، به اندازه کافی دقیق و صحیح نیستند که مانع از تلاش هکر برای دسترسی غیر مجاز به دستگاه از طریق حملات جعل شوند. برای حل این مسئله، علاوه بر FAR و FRR گوگل دو مکانیزم جدید را به قابلیتهای پیشین اضافه کرده است. قابلیتهای Spoof Accept Rate (SAR) و Imposter Accept Rate (IAR) که برای هکر یک تهدید به حساب میآیند.
Vishwath Mohanمهندس امنیتی تیم اندروید گوگل میگوید: "همانطور که از نام این ویژگیها پیداست، این معیارها مشخص میکنند که چگونه یک هکر میتواند احراز هویت بیومتریک را دور بزند."
هکری که از روش جعل استفاده میکند میتواند از راههای مختلفی به هدف خود دست یازد، از جمله اینکه: میتواند صدای کاربر اصلی را ضبط نموده و برای احراز هویت آن را برای دستگاه پخش کند، عکس اثر انگشت یا چهره کاربر اصلی را برای ورود به دستگاه استفاده کند و غیره.
اجرای سیاستهای احراز هویت بیومتریک قوی برای گوگل
بر اساس وروردی بیومتریکی که کاربر انتخاب میکند، مقادیر SAR و IAR تعیین میکنند که آیا احراز هویت قوی است ( مقادیر کمتر یا مساوی ۷%) یا ضعیف ( برای مقادیر بالاتر از ۷%).
اگر برای باز کردن دستگاه یا برنامهای از مقادیر بیومتریک ضعیف استفاده شود، Android P سیاستهای سختگیرانهای را برای کاربر اعمال خواهد کرد که از جمله آنها میتوان به موارد زیر اشاره کرد:
o در صورتی که دستگاه حداقل ۴ ساعت غیر فعال باشد، مانند زمانی که در حال شارژ است، کاربر برای ورود باید رمز عبور، الگوی ورودی، پین کد اولیه، پسورد یا ویژگی بیومتریک قوی را دوباره وارد کند.
o اگر دستگاه برای ۷۲ ساعت بدون فعالیت باشد، سیستم از شما میخواهد مکانیزمهای ذکر شده در بالا را هم برای بیومتریک ضعیف و هم برای بیومتریک قوی وارد کنید.
o برای افزایش ایمنی، کاربرانی که بیومتریک ضعیف استفاده میکنند امکان انجام تراکنشها و پرداختهایی که با KeyStore انجام میشود را ندارند.
علاوه بر اینها، گوگل یک BiometricPrompt API برای استفاده ساده توسعهدهندگان فراهم نموده است تا بتوانند از ویژگیهای بیومتریک به منظور افزایش امنیت کاربران، در برنامههای خود بهره ببرند. با استفاده از این ویژگی، بیومتریک ضعیف از طریق دو مکانیزم جدید تشخیص داده شده و کاملاً غیرفعال میشود.
Mohan میگوید: "BiometricPrompt تنها بیومتریکهای قوی را میپذیرد و یک توسعه دهنده با استفاده از آن میتواند مطمئن باشد که سطح امنیتی پایداری را در تمام دستگاههایی که برنامههای خود را روی آنها اجرا میکند، فراهم نموده است."
"یک کتابخانه پشتیبانی نیز برای دستگاه های دارای Android O و قبل از آن ارائه شده است، که به برنامهها امکان می دهد از مزایای این API در بیشتر دستگاهها استفاده کنند."
منبع خبر: https://thehackernews.com/2018/06/android-biometric-authentication.html