问题描述
对于Android设备(如Nexus 6P)上的指纹数据存储方式感到担忧,特别是想知道这些指纹数据是否被加密存储以及它们是保存在本地还是上传到云端。
解决方案
方案1
根据Google发布的Android 6.0兼容性要求文档(查看原文),Android设备上的指纹数据确实被加密存储,并且存储在可信执行环境(TEE)中,以确保数据的安全性。具体来说:
- 硬件背书的密钥库实现:设备必须有一个硬件背书的密钥库实现,指纹匹配过程必须在可信执行环境中进行。
- 加密与认证:所有可识别的指纹数据都必须加密并进行加密认证,以防止数据被获取、读取或篡改。
- 信任链建立:添加新的指纹之前,必须通过可信执行环境验证用户的现有凭证(PIN/图案/密码)。
- 第三方应用限制:不允许第三方应用区分不同的指纹。
这些措施表明,Android系统对指纹数据的处理非常谨慎,确保数据在设备本地的安全性。
方案2
虽然没有直接证据表明指纹数据上传至云端,但从安全性和隐私保护的角度考虑,Android系统更倾向于将敏感数据(如指纹)保存在本地设备上。即使指纹数据未加密,由于其存储在受保护的可信执行环境中,也极大地增加了数据被非法访问的难度。因此,用户可以放心使用指纹识别功能,而不必担心数据泄露的风险。
综上所述,Android设备上的指纹数据被严格加密并保存在本地设备上,确保了数据的安全性。用户可以安心使用指纹识别功能,同时不必过于担心数据隐私问题。
正文完