Como a verificação de identidade do Google Chrome manterá em breve seus dados seguros

Seu telefone Android provavelmente contém muitos dados pessoais, médicos e financeiros confidenciais, o que o torna um alvo principal para ladrões. É por isso que você deve ativar os recursos de proteção contra roubo que o Google acaba de lançar, para que os ladrões não consigam manter seu telefone desbloqueado após roubá-lo. Se a proteção contra roubo do Android não bloquear seu telefone após ele ter sido roubado, ainda há esperança de que você possa proteger seus dados. Isso porque aplicativos como o Google Chrome serão capazes de proteger seus dados mesmo que um ladrão que conheça seu bloqueio de tela roube seu telefone.

Atualmente, se um ladrão espiar por cima do seu ombro e vir você inserir o PIN, padrão ou senha da tela de bloqueio do telefone antes de pegá-lo, ele poderá não apenas desbloquear o telefone sempre que quiser, mas também obter acesso a muitos dos seus aplicativos mais confidenciais. Isso ocorre porque muitos aplicativos que solicitam que você se autentique antes de acessar determinados dados permitem que você insira o PIN, o padrão ou a senha da tela de bloqueio, em vez de usar dados biométricos, como rosto ou impressão digital. Nem todos os aplicativos fazem isso, mas aqueles que o fazem são vulneráveis ​​a serem invadidos por ladrões que navegam antes de roubar um telefone. Este é um problema que o próximo recurso de verificação de identidade do Android espera resolver.

A verificação de identidade é basicamente a versão Android da proteção de dispositivos roubados da Apple. Quando a verificação de identidade está ativada, ela força você a usar sua biometria para desbloquear aplicativos, mesmo que esses aplicativos normalmente permitam apenas o PIN, o padrão ou a senha da tela de bloqueio. O Google anunciou a verificação de identidade na semana passada e disse que exigiria o uso de autenticação biométrica ao “acessar contas críticas do Google e configurações do dispositivo, como alterar seu PIN, desativar a proteção contra roubo ou acessar chaves de acesso de um local não confiável”. Embora o Google não tenha compartilhado muitos outros detalhes além disso, vimos evidências de que a verificação de identidade não apenas protegerá alguns dados confidenciais no Google Chrome para Android, mas que o recurso só funcionará na próxima versão do Android 15.

No mês passado, o informante frequente do Chrome Leopeva64 descobriu um conjunto de alterações de código no Chromium Gerrit marcado como “idcheck”. Ele descobriu que uma das alterações de código adicionou um novo sinalizador do Chrome que “permite a verificação de identidade do Android para recursos qualificados”. A descrição da bandeira diz que “o recurso torna obrigatória a reautenticação biométrica antes do preenchimento de senhas ou antes de outras ações que sejam ou devam ser protegidas por verificações biométricas”. Depois de saber que essas alterações de código foram marcadas como “Verificação de identidade”, decidi me aprofundar um pouco mais para ver se essas alterações do Chrome estão relacionadas ao recurso Android Identity Check que descobri uma semana antes. Acontece que a equipe do Google Chrome está se preparando para oferecer suporte ao mesmo recurso.

Em uma alteração de código, a equipe do Chrome adicionou um novo GetBiometricAvailabilityStatus método que retorna kRequired se a verificação de identidade estiver ativada (o que significa que a autenticação biométrica será obrigatória), kAvailable se a autenticação biométrica estiver disponível, mas opcional, kAvailableLSKF se a autenticação biométrica não estiver disponível e kUnavailable se não houver nenhum método de autenticação de dispositivo disponível. Este método está sendo adicionado a várias partes da base de código do Chrome, como o código do recurso de preenchimento automático de senha do Chrome. Também está sendo adicionado ao código relacionado a métodos de pagamento, configurações de sincronização e modo de navegação anônima, sugerindo que o Chrome também pode exigir autenticação biométrica para acessar essas configurações quando seu telefone estiver fora de um local confiável.

O novo código do Chrome confirma que a verificação de identidade estará disponível apenas em dispositivos que executam a próxima versão de dezembro de 2024 do Android 15, ou seja, Android 15 QPR1. Uma alteração de código menciona explicitamente que o MandatoryAuthenticatorControllerImpl “será instanciado apenas no Android versão V e superior.” (O V refere-se a Vanilla Ice Cream, o codinome de sobremesa do Android 15.) MandatoryAuthenticatorControllerImpl ajuda a definir “o bit de autenticação obrigatório no prompt biométrico que deve impedi-lo de retornar ao PIN ou padrão” e nele, um comentário afirma explicitamente que “A verificação de identidade não está em vigor” se “a compilação não for V-QPR1+ .” Assim, a verificação de identidade estará disponível apenas no Android 15 QPR1 ou posterior, o que está de acordo com nosso relatório original sobre o recurso.

O Google não confirmou que o Identity Check exigirá Android 15 QPR1, mas todos os sinais apontam para que seja esse o caso. Ele também não compartilhou como o recurso funciona, mas pelo que podemos dizer, o Google lançará uma atualização do lado do servidor para o aplicativo Google Play Services que adicionará uma nova configuração “biométrica obrigatória”.

Ativar isso ativará a verificação de identidade, o que forçará os aplicativos a aceitar apenas autenticação biométrica. Embora o Google Chrome esteja se preparando para adicionar suporte para verificação de identidade, ele não será implementado até que a configuração “biométrica obrigatória” esteja disponível, o que provavelmente acontecerá em dezembro com o lançamento do Android 15 QPR1.