Att läsa användares biometriska material och lagra dem i en SQLite-databas verkar vara en misstänkt användning av biometri på Android. Normalt går en hel del säkerhetsåtgärder till att samla in en användares biometriska material på Android. På godkända Android-enheter kan ingen tredjepartsapp läsa en användares biometriska material. Hur det fungerar är att tredjepartsappen får bekräftelse från ramverket att användaren som är registrerad på enheten verkligen är samma användare som just nu autentiserades.
Det brukar gå så här:
-
Användaren registrerade sitt biometriska material med enheten vanligtvis via enhetens inställningar -- detta hanteras säkert av enhetsimplementeringen/OEM.
-
En tid senare vill en tredjepartsapp att en användare ska autentisera sig med biometri.
-
Appen vidarebefordrar användarens önskemål till Framework.
-
Ramverket hanterar autentiseringen. Användaren, när det gäller fingeravtrycksbiometri, trycker sitt fingeravtryck på sensorn och sensorn kontrollerar om det nya fingeravtrycket matchar en förregistrerad mall.
-
Ramverket säger till tredjepartsappen att ja fingeravtrycket matchar mallen som registrerades på enheten - eller nej, detta fingeravtryck känns inte igen. Men inte vid något tillfälle delas det biometriska materialet från en användare själv med en tredjepartsapp eller tillåts lämna enheten.
Så...ja, ditt användningsfall låter misstänkt.
Du kan hitta mer information om rekommenderad implementering här.