جوجل تجعل المصادقة البيومترية آمنة على أندرويد

أعلنت شركة جوجل عن خططها لتوفير ميزة جديدة لمكافحة الغش ضمن نظامها لتشغيل الأجهزة المحمولة أندرويد، مما يجعل آليات التوثيق الحيوية أكثر أمنًا بالمقارنة مع أي وقت مضى، حيث تعمل تقنيات المصادقة البيومترية، مثل بصمات الأصابع أو قارئ قزحية العين أو تقنيات التعرف على الوجوه، على تحسين عملية إلغاء قفل الأجهزة والتطبيقات من خلال جعلها أسرع وأكثر أمانًا.

وأوضحت جوجل نيتها إضافة نموذج أفضل لتحسين الأمان البيومتري، والذي سوف يكون متاحًا على النسخة الأحدث من نظامها التشغيلي المسماة Android P، مما يسمح لمطوري تطبيقات المحمول دمج الآلية المحسنة في تطبيقاتهم للحفاظ على بيانات المستخدمين في أمان، وذلك بغض النظر عن كون الأنظمة البيومترية لديها بعض الثغرات، والتي تم إثباتها عدة مرات في الماضي.

وتعتبر معظم تقنيات المسح البيومترية عرضة للهجمات الخادعة، ويمكن خداعها في معظم الحالات بسهولة كبيرة، إلا أن عملاقة البحث تحاول تعزيز المقاييس الحيوية لجعل عمليات خداعها أصعب وأكثر تعقيدًا، حيث يستخدم في الوقت الحالي نظام التوثيق الحيوي في أندرويد مقياسين هما معدل القبول الزائف FAR ومعدل الرفض الزائف FRR، بالاشتراك مع تقنيات التعلم الآلي لقياس الجودة ودقة مدخلات المستخدم.

ويحدد معيار معدل القبول الزائف مدى تكرار تصنيف القياسات الحيوية بطريق الخطأ للمدخلات غير الصحيحة على أنها تنتمي إلى المستخدم المستهدف، بينما يسجل معيار معدل الرفض الزائف عدد المرات التي تعمد من خلالها القياسات الحيوية بطريق الخطأ إلى تصنيف البيانات البيومترية الخاصة بالمستخدم على أنها غير صحيحة.

وتسمح بعض أجهزة المسح البيومترية للمستخدمين بالمصادقة بنجاح مع معدلات قبول زائفة أعلى من المعتاد، من أجل راحة المستخدم، مما يترك الأجهزة مفتوحة لعمليات الانتحال، وتقول جوجل إن أيًا من المقاييس المقدمة لا يمكنها أن تحدد بدقة ما إذا كانت البيانات البيومترية التي أدخلها المستخدم هي محاولة من قبل مهاجم لإجراء وصول غير مصرح به باستخدام أي هجوم انتحال.

وقدمت عملاقة البحث الآن مقياسين جديدين، وذلك في محاولة منها لحل هذه المشكلة، إذ بالإضافة إلى FAR و FRR هناك الآن مقاييس SAR و IAR، حيث تعمل جميع المقاييس معًا لتحسين خيارات القياسات الحيوية والأمان على Android P، وأعلنت الشركة أن المطورين يمكنهم الآن استخدام واجهة برمجة التطبيقات API المتعلقة بطلب الهوية البيومترية BiometricPrompt لدمج المصادقة البيومترية ضمن تطبيقاتهم.

وتبرز الشركة هذه الخطوة من خلال الاستشهاد بأهمية استخدام المقاييس الحيوية كإجراء أمني من قبل المستخدمين، وتضيف جوجل أن التطبيقات والأجهزة تستخدم المعلومات التي يقدمها المستخدمون لغرضها الخاص إلى جانب تخزنها أيضًا، مما يجعلها ذات أولوية أمنية، حيث تستخدم التطبيقات عوامل المعرفة وعوامل الحيازة وعوامل الإحصاء الحيوي كآلية الاستيقان.

وتستخدم التطبيقات العديد من العوامل المختلفة كآلية للمصادقة مثل عوامل الإحصاء الحيوي المتضمنة بصمات الأصابع أو قزحية العين أو وجه المستخدم، بينما تشتمل العوامل الأخرى على أرقام التعريف الشخصية وكلمات المرور وآليات توليد الرموز ومفاتيح الآمان، وهنا يأتي دور التحديث الجديد الذي يساعد نظام Android P في الحصول على نموذج أكثر دقة لقياسات الأمان البيومترية.

كما يساعد التحديث في فرض قيود على أساليب المصادقة الأضعف، مع جعل عملية التكامل الكلية أسهل بكثير بالنسبة للمطورين، وقال فيوشوات موهان Vishwath Mohan، مهندس الأمن في جوجل: “أصبحت آليات المصادقة البيومتري أكثر شعبية، ومن السهل معرفة السبب، حيث أنها أسرع من كتابة كلمة مرور،و أسهل من حمل مفتاح أمان منفصل، وهي تمنع المخاطر المتعلقة بمصادقة كلمات المرور أو أرقام التعريف الشخصية”.

وتستخدم مقاييس SAR و IAR لاختبار ما إذا كان نظام التوثيق البيومتري قويًا للقيم الأقل من أو تساوي 7 في المئة أم ضعيفًا للقيم الأعلى من 7 في المئة، واستشهدت جوجل ببعض الأمثلة لتوضيح متى يمكن أن يكون نظام التوثيق البيومتري ضعيفًا، ويشمل ذلك السماح بإعادة إدخال رقم التعريف الشخصي أو كلمة المرور وعدم القدرة على مصادقة المدفوعات والمعاملات، بحيث سوف يظهر للمستخدمين تحذير عن نقاط الضعف في نظام المصادقة البيومتري.

وأوضحت جوجل أنه استنادًا إلى المدخلات البيومترية للمستخدم فإن المقاييس تساعد على تنفيذ سياسة مصادقة صارمة بالنسبة للمستخدمين في حال كانت القيم تشير إلى نظام مصادقة بيومتري ضعيف عند إلغاء قفل الجهاز، بحيث يطلب النظام من المستخدم إعادة إدخال رقم التعريف الشخصي الأساسي أو النمط أو كلمة المرور إذا كان الجهاز غير نشط لمدة لا تقل عن 4 ساعات.

كما أشارت أنه في حال تم ترك الجهاز دون مراقبة لمدة 72 ساعة، فإن النظام سوف يقوم بفرض السياسة المذكورة أعلاه لكل من القياسات الحيوية الضعيفة والقوية، ولمزيد من الأمان، لن يتمكن المستخدمون الذين قاموا بإجراء المصادقة من خلال قياسات حيوية ضعيفة من إجراء الدفعات أو المشاركة في المعاملات الأخرى، بحيث من شأن هذه الميزة أن تمنع الوصول غير المصرح به إلى الأجهزة.