Android Pie представил новую функцию безопасности под названием Android Protected Confirmation для выполнения критически важных транзакций, таких как банковские операции и управление медицинскими устройствами. Pixel 3 и Pixel 3 XL первыми поддерживают новую функциональность, а Google продолжает детализировать функции безопасности своего новейшего телефона на этой неделе.
По словам Google, Android Protected Confirmation — это «первый основной API мобильной ОС, который использует защищенный аппаратным обеспечением пользовательский интерфейс (Trusted UI) для выполнения критически важных транзакций полностью вне основной мобильной операционной системы».
Например, банковское приложение может вызвать Trusted UI для проверки крупной денежной транзакции или перевода. Интерфейс несколько напоминает загрузчик с простым белым фоном, указывающим, что вы находитесь в режиме Android Protected Confirmation, и точную суть транзакции для одобрения.
Это подтверждение обеспечивает дополнительный уровень безопасности для действия, которое вы собираетесь совершить.
Для подтверждения пользователям предлагается дважды нажать кнопку питания, при этом запрос появляется рядом с физической кнопкой, а отмена выполняется нажатием клавиши увеличения громкости. Это гарантирует, что команда была инициирована конечным пользователем, а Protected Confirmation устойчива к мошенническим приложениям или скомпрометированным операционным системам.
После подтверждения ваше намерение криптографически аутентифицируется и становится не поддельным при передаче вызывающей стороне, например, вашему банку. Protected Confirmation повышает уверенность банка в том, что он действует от вашего имени, обеспечивая более высокий уровень защиты транзакции.
Protected Confirmation также может использоваться для усиления одноразовых паролей или кодов подтверждения транзакций. Эти существующие методы снова не защищены от скомпрометированных устройств, которые могут повредить или перехватить текстовые сообщения с одноразовым подтверждением.
После того как пользователь одобрит транзакцию, Protected Confirmation цифровым образом подписывает сообщение о подтверждении. Поскольку ключ подписи никогда не покидает аппаратный sandbox Trusted UI, ни вредоносное ПО, ни скомпрометированная операционная система не смогут обмануть пользователя, заставив его одобрить что-либо.
Android Protected Confirmation может быть принята любым сторонним приложением, а банковские и медицинские партнеры демонстрировали различные примеры на I/O 2018:
Переводы денег от человека к человеку от Royal Bank of Canada; Duo Security, Nok Nok Labs и ProxToMe для аутентификации пользователей; а также Insulet Corporation и Bigfoot Biomedical для управления медицинскими устройствами.
В последнем случае Google сотрудничает с FDA в рамках отраслевого стандарта для «безопасного управления медицинскими устройствами, такими как инсулиновые помпы» со смартфонов. Тем временем компания ранее на этой неделе отметила, что Google Pay работает над использованием этой функции.
Pixel 3 и Pixel 3 XL — первые устройства, поддерживающие Android Protected Confirmation, благодаря чипу безопасности Titan M. Эта функция по-прежнему считается необязательной в Android Pie, поскольку она требует аппаратного обеспечения низкого уровня, но Google работает с другими производителями над внедрением этих функций.
Посетите 9to5Google на YouTube для получения дополнительных новостей: