Svenska appar som kör fingavtryck tar inte del av Titan M2

Swedbank, Swish bara nämna några det kör fortfarande på sin egen fingavtryck funktion från appen som läser av Telefonen identitet för verfiera med fingavtryck.


Paypal kör med fingavtrycks funktionen som ligger bakom Titan M2 chips som är extra säker och ser ut så här.


upptäckte det nyligen undrar när svenska appar ska ta del av det, inte bara för det är säkrare men det ser fan snyggare ut också, ser inte direkt snyggt ut ha i appen Fingavtrycks sida bakom telefonen fingavtryck.

 

Så länge Pixel-serien inte är släppt i Sverige så finns det nog ingen större press på utvecklarna att fixa det. Hamnar nog lååångt ner i pipen, om alls.

 

Tänk om andra tillverkare börja inkludera Titan M2 för ha chipset för hålla lösenord säkerhets identiteter mer säkert på telefonerna

Google Titan M2 är ju ingen större skillnad till datorernas TPM

Microsoft har ju börja kräva TPM för Windows 11, så det är inte helt omöjligt att Google i framtiden kräver att ha Titan M2 för Android 13 eller så vidare. Google Titan M2 är ju också ett svar på Apples T2.

Dock tror jag inte Android 13 blir kravet på Titan M2 lär nog vara 2024 när Pixel 6 är den enda som får major updaten eller under 2025, om de inte lägger till undantag till redan befintliga telefoner.

 

Om andra tillverkare implementerar det på telefoner som faktiskt släppts här så är det en helt annan historia. Jag reflekterade bara över dagsläget.

 

Knox skyddar bara filer på telefoner den skyddar inte kontrollerna mot chipset

Samsung motsvarighet började i Galaxy S20 med Strongbox och Keymaster det kör också med Secure Element Chips S3FV9RR och S3K250AF chips.

Men även den och Apple T2 chips har ju flaws i sig, Google kan ju inte göra så mycket mot Apple men risken är större att Google kommer kräva Titan M2 chips för senare Android verisoner.

Titan M2 är byggd på RISC-V det är samma som finns idag på TPM 2.0

 

Freja E-ID har det. (antar jag?) Dock inte så snyggt ut när den inte "sidbryter" app-namnet, och man kan då inte vilken app som initierar avläsningen.

 

Frågade BankID varför det inte hade tagit del av M2 och deras svar var att det kan då inte kontrollera om det är ansikts eller fingeravtryck de använder när det verifierar sig därför vill de inte stödja det. Vilket för mig låter ju helt bisarrt lite som det inte ens vet något om saken än.

Det är Frejd som förlänger texten hade dom valt ha text som Fingavtryck för Frejd så hade texten varit kortare och inte haft ..... lite som Paypal har det. Fingavtryck läsare kan endast dyka upp över appen som söker verifieringen så du ser vilken app det är i backrunden.

Frejd lägger till texten autentisering efter fingavtryck.

 

Det stämmer ju och något många utvecklare har velat ha och definitivt många copywriters har velat ha. Biometri är ett fult ord, hade varit smutt att få reda på vad som används för att anpassa copyn.

Google vill inte ge den möjligheten för då man man se vad som används och därmed möjligheten att inte tillåta en typ av verifisering - något de inte vill.

Android P + BiometricPrompt + Samsung blev en shitshow. Google skriver något offentligt som visar sig inte stämma och Samsung har buggar i sina telefoner så dem fungerar inte med BiometricPrompt - osäkra autentiseringar räknades som säkra och Google måste hårdkoda in vilka Samsung-telefoner som ska ignoreras.

@bernard har också snackat med BankID ang androidx.biometricprompt

 

Fortfarande har det möjligheter skicka en request bserad på typen som Google sedan kräver. Ett exempel.


Även om det stöder Titan M2 och skickar en request för Fingavtryck så kommer telefonen kräva att det ska vara ett fingavtryck och inte ett ansikte, så vitt jag vet så fungerar inte ansikten på en fingavtryck förfrågan eller viseverse även om förfrågan ställare inte kan se vilken typ det är.

Det är bara och inte erbjuda förfrågan via ansikten, men det borde veta vilken förfrågan det ställde för promten.

Fast kanske har med att det vet inte vilken telefontyp det är, fråga bara efter fingavtryck på en Pixel 4 XL vore meningslöst då det inte finns stöd för det, kunna veta mer exakt vilket kanske gör det lättare bara kräva kod. Alla andra telefoner i princip har fingavtryck och inte ansikte.

 

Vad baseras dina bilder på? Har du ett projekt att dela? Att kolla/fråga efter features hjälper inte när tex Samsung har telefoner med fingeravtryck, iris, ansikte och deras egna kombo.

Nog har senaste androidx.biometricprompt alphan stöd för ett String api jag inte har hunnit kolla på men annars har man bara två val när man skapar prompten.

Strong eller weak. BiometricPrompt.Builder | Android Developers

Här var Samsung snälla och sade att deras telefoner kunde köra ansikte på strong men det krashade sedan crypto-operationen.

Men jag har inte haft stenkoll på biblioteket senaste halvåret men har haft stenkoll tidigare. Blir lite undersökningar imorgon på jobbet.

 

Tillexempel om app utvecklaren vill ha stöd för face så behöver det också ha stöd för IbiometricsFace.hal IbimetricsFaceClientCallback.hal samt types.hal

biometrics/face/1.0/IBiometricsFace.hal - platform/hardware/interfaces - Git at Google (googlesource.com)
biometrics/face/1.0/IBiometricsFaceClientCallback.hal - platform/hardware/interfaces - Git at Google (googlesource.com)
biometrics/face/1.0/types.hal - platform/hardware/interfaces - Git at Google (googlesource.com)

Har appen inte den koden i sig så kommer fingavtryck eller kod existera endast och därmed kan endast fingavtryck eller koden väljas.

Och ett ansikte skulle inte godkänna fingavtrycket eftersom det är så olika.

Så även om typ bankid inte skulle veta vad som veriferas ansikte eller fingavtryck vid hämtningen för godkänna den så kan app utvecklaren helt enkelt ingorera ha stöd för ansikte.

och telefoner som inte har fingavtryck skulle då bli koden som krävs. Fick lite andra biometrics koder också även mer så i Android 12 än i Android 11 och lägre.

Bilden är tagna från test från emulator.

 

Vilka test?


När du i Java eller kotlin anropar BiometricPrompt får du inte välja om du ska ha ansikte eller fingeravtryck. Det finns inget sådant stöd. Det du får välja är weak eller strong säkerhet för krypteringen.

Man väljer inget specifikt utan lägger till hela androidx.biometrics vilket inkluderar ansikte och fingeravtryck. På så sätt får man ansikte vare sig man vill eller inte.

Ska se vad BiometricPrompt.String apiet ger imorgon. Om det är det som dina bilder använder sig av.

Eller om det är så lätt att bilden från ansiktet är pga utvecklaren har bett om svag säkerhet och inte hög.(bilden från testet)