Android Protected Confirmation
Android Protected Confirmation is een feature die dit jaar werd voorgesteld op Google I/O. Het gaat om een Application Programming interface (API) die een gebruikersinterface bevat die door hardware beveiligd is. De interface zelf speelt zich af buiten het besturingssysteem om zo beïnvloeding door kwaadaardige software te voorkomen.
De nieuwe Google Pixel 3 en Pixel 3 XL zijn de eerste telefoons die de feature ondersteunen. De functie dient als een bevestiging voor belangrijke geldtransacties of om toegang te krijgen tot bijvoorbeeld medische apparatuur. Veel beveiligingsmaatregelen werken vandaag bijvoorbeeld via een code die per sms worden verzonden, maar dergelijke codes kunnen ook onderschept worden. Google wil daarom twee-staps-authenticatie via sms in zijn diensten afbouwen. De nieuwe interface zorgt ervoor dat alleen de persoon die de telefoon in handen heeft kan bevestigen.
Hoe werkt het?
Het werkt zo. De afgeschermde interface bestaat uit een volledig wit scherm, en de tekst Android Protected Confirmation is te zien samen met de omschrijving van de actie die je wil bevestigen, pakweg een overschrijving van 4200 euro. Vervolgens bevestig je door tweemaal de power-knop in te drukken of je annuleert door op de volumeknop te drukken.
Natuurlijk dient het in geval van een geldtransactie als een extra beveiligingslaag, want anders zou iedereen die je telefoon in handen heeft geld kunnen overschrijven. De bevestiging dient als een onuitwisbare bevestiging voor de partij die gebruikmaakt van de beveiliging, bijvoorbeeld je bank. De bedoeling is dat die partij zo nog meer vertrouwen krijgt in de actie die je wil bevestigen.
Toepassingen
Android Protected Confirmation is een API die vrij kan worden geïmplementeerd door applicatiemakers. Google onderhandelt nu met een aantal bedrijven van medische toepassingen om de feature te implementeren voor toepassingen als een insulinepomp die je met je smartphone bestuurt. Op termijn zal ook de betaaldienst Google Pay de feature implementeren. Onderaan dit artikel zie je een voorbeeld van een toepassing die met Android Protected confirmation werkt.
Titan M
Om de feature ook in alle smartphones in te bouwen is helaas een ander verhaal, want daar is toegevoegde hardware nodig. De feature ziet er bedrieglijk eenvoudig uit, maar dat is het niet. Google maakte bekend bij de lancering dat de nieuwe Pixels een eigengemaakte dedicated beveiligingschip bevat, de Titan M, waarmee dergelijke functies mogelijk worden. De Titan M bevat onder andere een coprocessor voor cryptografie, een hardware-gebaseerde generator van willekeurige nummers, eigen ram en een afgeschermde flashopslag.
Als fabrikanten ook met de extra beveiligingslaag en andere beveiligingsmaatregelen aan de slag willen, zullen ze ook een dergelijke chip moeten gebruiken. Google is van plan om de firmware van Titan M open-source te maken, en het onderhandelt met andere fabrikanten van smartphones om ermee aan de slag te gaan.
Via: Android Developers
Reacties
Inloggen of registreren
om een reactie achter te laten
Mooi hoor. Nu nog in combinatie met een scanner die het bloedvatenpatroon in je vinger herkent. Zo heb je een nog betere identificatie en kan het niet gebruikt worden als je dood bent.