Mishaal Rahman / Autoridade Android
Resumo
- O Google está se preparando para implementar um recurso de verificação de identidade que força você a usar sua biometria para desbloquear aplicativos.
- No entanto, a biometria só será obrigatória se o dispositivo estiver fora de um local confiável.
- Isso acontece para que ladrões que sabem o PIN da tela de bloqueio do seu telefone não consigam desbloquear seus aplicativos e roubar seus dados.
A tela de bloqueio do seu telefone é a principal coisa que mantém todos os seus aplicativos e dados longe de olhares curiosos. Mas o que acontece se um ladrão espiar por cima do seu ombro, ver qual é o PIN da sua tela de bloqueio e roubar seu telefone das suas mãos? De repente, muitos dos seus aplicativos e dados pessoais estão vulneráveis, mesmo se estiverem protegidos pela camada adicional de segurança que é o prompt biométrico do Android. Isso ocorre porque muitos aplicativos que usam o prompt biométrico do Android permitem que você insira as credenciais da tela de bloqueio do dispositivo como um mecanismo de fallback. Felizmente, enquanto eu estava vasculhando o lançamento do Android 15 QPR1 Beta 2 que o Google lançou outro dia, encontrei evidências de que a empresa está trabalhando em uma solução para esse problema — e isso vem diretamente do manual de proteção de dispositivos roubados da Apple.
No aplicativo Configurações, me deparei com uma nova string interessante chamada mandatory_biometrics_prompt_description. Ele diz, “Identity Check is on.” O aplicativo Configurações tem um código para mostrar essa string “Identity Check is on” quando ele invoca o diálogo de prompt biométrico do Android. No entanto, o aplicativo Configurações não mostra essa string quando ele invoca um prompt biométrico, o que acontece quando você tenta alterar o modo USB ou o tempo limite da tela no Android 15.
Código
<string name="mandatory_biometrics_prompt_description">Identity Check is on</string>Pesquisando mais a fundo, descobri que esse recurso é referenciado em várias classes relacionadas à biometria do Android. Especificamente, parece que o Google está configurando o Android para ignorar quando os aplicativos invocam o diálogo de prompt biométrico com um fallback de PIN/senha/padrão. No entanto, isso só será feito quando a “biometria obrigatória” for acionada.
Embora o Android 15 QPR1 em si não tenha nenhum código que nos diga quando a “biometria obrigatória” é acionada, a descrição do próprio sinalizador que controla o recurso nos dá uma grande pista. Ele diz especificamente que “quando o telefone estiver fora de locais confiáveis”, o Android deve remover o “LSKF fallback” da caixa de diálogo do prompt biométrico. LSKF significa Lock Screen Knowledge Factor (LSKF), que é o termo técnico para o PIN, senha ou padrão de deslizamento usado para desbloquear seu dispositivo. Esta descrição confirma como a “biometria obrigatória” é acionada, mas não explica o que são esses “locais confiáveis” ou se é o próprio sistema operacional que está rastreando quando o telefone está fora deles.
No entanto, mais cedo hoje, frequentemente Autoridade Android o colaborador AssembleDebug postou uma captura de tela no X que colocou a peça final do quebra-cabeça. Sua captura de tela revelou que o Google está se preparando para atualizar seu recurso Trusted Places — que mantém seu telefone desbloqueado quando ele está em um local confiável, como sua casa — com uma nova opção de “biometria obrigatória”. Isso se alinha perfeitamente com minha descoberta no Android 15 QPR1 e sugere que o aplicativo Google Play Services rastreará quando seu telefone estiver fora de um local confiável. Se for o caso, ele dirá ao sistema operacional para acionar a biometria obrigatória, fazendo com que ele oculte o fallback de PIN/senha/padrão quando os aplicativos invocarem o diálogo de prompt biométrico.
Se isso soa familiar para qualquer um dos nossos leitores com dispositivos Apple, é porque é a mesma coisa que os iPhones fazem quando a Proteção de Dispositivo Roubado está habilitada. Com isso habilitado, algumas ações como acessar senhas armazenadas e cartões de crédito exigem autenticação biométrica via Face ID ou Touch ID quando o dispositivo está longe de um local familiar.
A abordagem do Google sobre esse recurso — que parece ser chamado de Identity Check — deve ser tão eficaz quanto quando for lançado. Não sabemos quando isso vai acontecer, mas quando acontecer, pode exigir o Android 15 QPR1 ou superior, já que envolve mudanças essenciais no comportamento do aplicativo do sistema que lida com o diálogo de prompt biométrico.
Um agradecimento especial ao pesquisador de segurança linuxct pela ajuda na pesquisa desse recurso!
