É assim que o Android guarda suas impressões digitais

O processo de cadastro da impressão digital pode até ser comparado com uma nota que criamos no celular e salvamos numa pasta com senha. Sempre que quisermos acessar o conteúdo será preciso confirmar a propriedade do autor, certo? No caso da biometria, existem outras camadas de segurança que passam por software, APIs e drivers específicos que fazem o cadastro das suas digitais e todo o processo que resulta no desbloqueio do celular.

No caso do Android, o Google utiliza um ambiente virtual confiável que usa criptografia, chamado de Trusted Execution Environment (TEE). Não pensem que o TEE se limita a um software, pelo contrário, trata-se de uma área separada e isolada do hardware do smartphone. O mesmo pode fazer uso de processadores e memórias próprias, ou então utilizar uma partição virtual dentro da CPU principal do aparelho para fazer seu trabalho. Em ambos os casos, o TEE é um ambiente totalmente isolado, esteja o telefone com root ou não.

• 10 dicas para aumentar a segurança no Android

Como todo ambiente virtual, o TEE é auxiliado por um software que, no caso, se chama Trusty OS. Este é o software que faz uma espécie de ponte entre os drivers do kernel e permite que o TEE possa se comunicar com o resto do sistema operacional. Existe, inclusive, uma API para que os desenvolvedores possam criar outros parâmetros de validação, chamada de Trusty API. 

Dito isso, vamos entender agora como funciona o processo de cadastro e validação da biometria. Primeiramente, o usuário irá fazer o cadastro da sua impressão digital no software do fabricante. Aqui é válido observar que o uso do Trusty OS não é obrigatório, ou seja, cada fabricante pode trabalhar num sistema próprio integrado ao TEE. Os dados cadastrados são criptografados e enviados ao TEE. O sistema operacional não armazena esses dados em nenhum lugar, exceto no núcleo do TEE. O cadastro é criptografado três vezes e as chaves geradas só podem ser decifradas pelo TEE.

Quando colocamos o dedo sobre o sensor de impressão digital um perfil com os dados informados é criado pela API Trusty e enviado para validação pelo TEE. O TEE, por sua vez, faz a validação desses dados e devolve a resposta sobre a liberação do dispositivo (sim ou não). Quando um dedo não é reconhecido, os dados falhos ficam gravados por algum tempo para facilitar a reprovação do desbloqueio do aparelho, caso esteja acontecendo uma tentativa de acesso forçado, por exemplo.

As chaves criptografadas criadas durante um cadastro de digital podem mudar, quando são removidas pelo usuário ou quando o dispositivo é formatado. Nenhuma fabricante pode permitir que essas chaves sejam acessadas diretamente por outros apps ou então que fiquem armazenadas em ambientes não criptografados e que não passem pela validação do TEE.

A velocidade do desbloqueio está associada a capacidade de leitura do próprio sensor biométrico, e não do software.

E aí, você já conhecia esse processo? Utiliza a biometria no seu celular?

Via Android Central