Leer los materiales biométricos de los usuarios y almacenarlos en una base de datos SQLite parece un uso sospechoso de la biometría en Android. Normalmente, se requieren bastantes medidas de seguridad para recopilar el material biométrico de un usuario en Android. En dispositivos Android aprobados, ninguna aplicación de terceros puede leer el material biométrico de un usuario. La forma en que funciona es que la aplicación de terceros obtiene la confirmación del Marco de que, de hecho, el usuario registrado en el dispositivo es el mismo usuario que acaba de autenticarse.
Normalmente es así:
-
El usuario registró sus materiales biométricos con el dispositivo por lo general a través de la configuración del dispositivo; esto lo gestiona de forma segura la implementación del dispositivo/OEM.
-
Algún tiempo después, una aplicación de terceros quiere que un usuario se autentique mediante datos biométricos.
-
La aplicación transmite el deseo del usuario al Framework.
-
El marco maneja la autenticación. El usuario, en el caso de la biometría de huellas dactilares, toca su huella dactilar en el sensor y el sensor comprueba si la nueva huella dactilar coincide con una plantilla registrada previamente.
-
El marco le dice a la aplicación de terceros que sí, la huella dactilar coincide con la plantilla que se registró con el dispositivo, o no, esta huella dactilar no se reconoce. Pero en ningún momento se comparte el material biométrico de un usuario con una aplicación de terceros ni se le permite dejar el dispositivo.
Entonces... sí, su caso de uso suena sospechoso.
Puede encontrar más información sobre la implementación recomendada aquí.
