Google baru saja mengumumkan akan menambah fitur anti-spoofing untuk sistem operasi android, fitur ini akan memanfaatkan otentifikasi biometris. Otentifikasi biometris menggunakan sidik jari, pengenalan retina atau pengenalan wajah akan membuat proses buka dan kunci perangkat menjadi semakin mulus. Walaupun otentifikasi biometris tidak selamanya aman, akan tetapi pengenalan biometris terbukti dapat dimanfaatkan untuk mengatasi celah kemanan dari serangan spoofing. Fitur ini kemungkinan akan diimplentasikan pada seri android yang terbaru, yaitu android P.

                Saat ini fitur otentifikasi biometrik pada android menggunakan dua matrik, yaitu False Accept Rate (FAR) dan False Reject Rate (FRR) dikombinasikan menggunakan pengukuran machine learning untuk meningkatkan akurasi dan prediksi dari masukan pengguna. Secara sederhana FAR mendefinisikan seberapa sering model biometrik dikategorikan sebagai masukan yang salah dibandingkan dengan data asli, sementara itu FRR mendokumentasikan seberapa sering model biometrik dikategorikan sebagai data yang salah. Akan tetapi menurut google, kedua matrik itu tidak cukup menanggulangi jika ada penyerang menggunakan foto atau data palsu terhadap sistem. Untuk mengatasi celah keamanan tersebut, selain menggunakan FAR dan FRR, google menggunakan dua matrik yang baru, yaitu Spoof Accept Rate (SAR) dan Imposter Accept Rate (IAR). Keadua matrik tersebut digunakan untuk meminimalisir ancaman dari serangan spoofing.

                Batas nilai yang SAR dan IAR untuk dianggap nilai biometric yang kuat adalah kurang dari 7%, diatas nilai tersebut akan diklasifikasikan sebagai data biometric yang lemah. Jika ditemukan data biometric yang lemah, maka sistem dalam Android P akan memaksa pengguna memasukkan kode otentifikasi yang lain, seperti

  • Pengguna akan diminta memasukan ulang PIN, pola buka layar, ataupun password yang lain
  • Jika smartphone anda tidak digunakan selama lebih dari 72 jam, maka sistem secara otomatis akan memperlakukan sebagai data biometrik yang lemah.
  • Sebagai tambahan keamanan, jika terdeteksi aktif menggunakan nilai biometrik yang lemah, maka sistem akan mencegah user untuk melakukan pembayaran secara elektronik ataupun melakukan transaksi keuangan yang lain.

Google akan segera merilis API tersebut, agar developer dapat menggunakan untuk meningkatkan keamanan pada aplikasi yang mereka buat. Dengan tambahan data biometrik yang baru diharapkan keamanan pada android P akan semakin meningkat.