Čtení biometrických materiálů uživatelů a jejich ukládání do databáze SQLite se zdá být podezřelým používáním biometrických údajů v systému Android. Shromažďování biometrického materiálu uživatele v systému Android obvykle zahrnuje poměrně dost bezpečnostních opatření. Na schválených zařízeních Android nemůže žádná aplikace třetí strany číst biometrický materiál uživatele. Funguje to tak, že aplikace třetí strany získá potvrzení z Frameworku, že skutečně registrovaný uživatel v zařízení je stejný uživatel, který se právě ověřil.
Obvykle to probíhá takto:
-
Uživatel zaregistroval své biometrické materiály v zařízení obvykle prostřednictvím Nastavení zařízení – toto bezpečně zajišťuje implementace zařízení/OEM.
-
O něco později aplikace třetí strany chce, aby se uživatel ověřil pomocí biometrických údajů.
-
Aplikace přenáší přání uživatele do rámce.
-
Ověřování se stará framework. Uživatel v případě biometrie otisku prstu klepne otiskem prstu na snímač a snímač zkontroluje, zda se nový otisk shoduje s předem registrovanou šablonou.
-
Framework říká aplikaci třetí strany ano, otisk prstu odpovídá šabloně, která byla zaregistrována v zařízení – nebo ne, tento otisk nebyl rozpoznán. Ale v žádném okamžiku není biometrický materiál samotného uživatele sdílen s aplikací třetí strany ani není dovoleno opustit zařízení.
Takže...jo, váš případ použití zní podezřele.
Více informací o doporučené implementaci naleznete zde.