Много уже написано и сказано про биометрическую аутентификацию в android приложениях. И это не прошло бесследно. Вижу много приложений где флоу аутентификации биометрия+пин-код сделан по всем канонам безопасности. Но дьявол кроется в деталях. И сегодня я покажу как всего один флаг способен умножить на 0 отлично выстроенную систему аутентификации. Речь пойдет об одном широко известном приложении 🤐

До Android 6.0 не было единого стандартизованного API для работы со сканером отпечатков и четких требований к реализации, поэтому производители прикручивали эту функцию как попало.

Начиная с версии 6.0, Google выпустил документ в котором предъявил требования к устройствам на базе Android оборудованных датчиком отпечатков пальцев:

Типы сканеров

Оптический

Этот вид сенсора работает по простому принципу: есть фоточувствительная матрица (в большинстве случаев это ПЗС, которая используется во многих современных камерах) и несколько небольших светоизлучателей, которые подсвечивают поверхность пальца.

Свет отражается от папиллярного узора, и в зависимости от того, попал луч света на гребень или на впадину, интенсивность его варьируется.

Внешнее стекло такого сканера тонкое, чтобы вызвать эффект полного нарушенного внутреннего отражения. Из-за этого эффекта свет в местах контакта кожи со стеклом — на гребнях — полностью отражается в фотосенсор