ویژگی ضد جعل جدید در اندروید برای ایجاد امنیت از طریق احراز هویت بیومتریک

گوگل اعلام نمود ویژگی ضد جعل جدیدی به سیستم‎عامل‎ اندروید خود افزوده است که به وسیله آن مکانیزم‎های احراز هویت بیومتریک این سیستم‎عامل را ایمن‎تر از قبل می‎‌کند. مکانیزم‏‌های بیومتریک شامل: اثر انگشت، تشخیص عنبیه، فناوری تشخیص چهره و غیره می‎باشند، که توسط آنها فرآیند بازگشایی قفل دستگاه‌ها و برنامه‌ها بسیار سریع‎تر و ایمن‎تر می‎گردد.

با این وجود، مشکلات سیستم‎های بیومتریک بر کسی پوشیده نیست، چرا که پیش از این چندین بار آسیب‎پذیر بودن اسکنرهای بیومتریک در مقابل حملات جعل اثبات شده است و در اغلب موارد، توانسته‌اند آن‌ها را به راحتی فریب دهند.

معیارهای جدید بیومتریک برای شناسایی حملات جعل
در حال حاضر سیستم‌ احراز هویت بیومتریک اندروید از دو مکانیزم False Accept Rate ‪(FAR)‬ و False Reject Rate ‪(FRR)‬، در ترکیب با تکنیک‎های یادگیری ماشین (machine learning) استفاده می‏کنند که برای اندازه‌گیری دقت و صحت ورودی‎های کاربر به کار می‏‏‌روند.
به طور خلاصه، False Accept Rate مشخص می‎کند که مدل بیومتریک چگونه یک کاربر جعلی را به عنوان کاربر اصلی تشخیص می‎دهد، و در مقابل، False Reject Rate نشان می‎دهد که مدل بیومتریک چگونه ویژگی‎های بیومتریک کاربر اصلی را اشتباه شناسایی می‎کند.
علاوه بر این، برخی از اسکنرهای بیومتریک برای راحتی کاربران امکان احراز هویت موفقیت‎آمیز با نرخ اشتباه بالا را فراهم می‎کنند که این مسئله راه را برای حملات جعل روی دستگاه باز می‌کند.
گوگل می‌گوید: هیچ یک از ویژگی‎های بیومتریک، به اندازه کافی دقیق و صحیح نیستند که مانع از تلاش هکر برای دسترسی غیر مجاز به دستگاه از طریق حملات جعل شوند. برای حل این مسئله، علاوه بر FAR  و FRR گوگل دو مکانیزم جدید را به قابلیت‎های پیشین اضافه کرده است. قابلیت‎های Spoof Accept Rate ‪(SAR)‬ و Imposter Accept Rate ‪(IAR)‬ که برای هکر یک تهدید به حساب می‌آیند.
 Vishwath Mohanمهندس امنیتی تیم اندروید گوگل می‌گوید: "هما‌ن‌طور که از نام‌ این ویژگی‌ها پیداست، این معیارها مشخص می‌کنند که چگونه یک هکر می‎تواند احراز هویت بیومتریک را دور بزند."
هکری که از روش جعل استفاده می‎کند می‌تواند از راه‎های مختلفی به هدف خود دست یازد، از جمله اینکه: می‌تواند صدای کاربر اصلی را ضبط نموده و برای احراز هویت آن‌ را برای دستگاه پخش کند، عکس اثر انگشت یا چهره کاربر اصلی را برای ورود به دستگاه استفاده کند و غیره.

اجرای سیاست‌های احراز هویت بیومتریک قوی برای گوگل
بر اساس وروردی بیومتریکی که کاربر انتخاب می‎کند، مقادیر SAR و IAR تعیین می‌کنند که آیا احراز هویت قوی است ( مقادیر کمتر یا مساوی ۷%) یا ضعیف ( برای مقادیر بالاتر از ۷%).     
اگر برای باز کردن دستگاه یا برنامه‎ای از مقادیر بیومتریک ضعیف استفاده شود، Android P سیاست‎های سخت‌گیرانه‌ای را برای کاربر اعمال خواهد کرد که از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:
o    در صورتی که دستگاه حداقل ۴ ساعت غیر فعال باشد، مانند زمانی که در حال شارژ است، کاربر برای ورود باید رمز عبور، الگوی ورودی، پین کد اولیه، پسورد یا ویژگی بیومتریک قوی را دوباره وارد کند.
o    اگر دستگاه برای ۷۲ ساعت بدون فعالیت باشد، سیستم از شما می‎خواهد مکانیزم‎های ذکر شده در بالا را هم برای بیومتریک ضعیف و هم برای بیومتریک قوی وارد کنید.
o    برای افزایش ایمنی، کاربرانی که بیومتریک ضعیف استفاده می‌کنند امکان انجام تراکنش‌ها و پرداخت‎هایی که با KeyStore انجام می‌شود را ندارند.
علاوه بر این‎ها، گوگل یک BiometricPrompt API برای استفاده ساده توسعه‌دهندگان فراهم نموده است تا بتوانند از ویژگی‎های بیومتریک  به منظور افزایش امنیت کاربران، در برنامه‎های خود بهره ببرند. با استفاده از این ویژگی، بیومتریک ضعیف از طریق دو مکانیزم جدید تشخیص داده شده و کاملاً غیرفعال می‎شود.
Mohan می‌گوید: "BiometricPrompt تنها بیومتریک‎های قوی را می‌پذیرد و یک توسعه دهنده با استفاده از آن می‌تواند مطمئن باشد که سطح امنیتی پایداری را در تمام دستگاه‌هایی که برنامه‌های خود را روی آن‎ها اجرا می‌کند، فراهم نموده است."
"یک کتابخانه پشتیبانی نیز برای دستگاه های دارای Android O و قبل از آن ارائه شده است، که به برنامه‌ها امکان می دهد از مزایای این API در بیشتر دستگاه‌ها استفاده کنند."

منبع خبر: https://thehackernews.com/2018/06/android-biometric-authentication.html