Het lezen van biometrische materialen van gebruikers en het opslaan ervan in een SQLite-database lijkt een verdacht gebruik van biometrie op Android. Normaal gesproken gaan er nogal wat beveiligingsmaatregelen gepaard met het verzamelen van biometrisch materiaal van een gebruiker op Android. Op goedgekeurde Android-apparaten kan geen enkele app van derden het biometrische materiaal van een gebruiker lezen. De manier waarop het werkt, is dat de app van derden bevestiging krijgt van het Framework dat de gebruiker die op het apparaat is geregistreerd inderdaad dezelfde gebruiker is die zich zojuist heeft geverifieerd.
Het gaat normaal gesproken als volgt:
-
Gebruikers hebben hun biometrische materialen bij het apparaat geregistreerd, meestal via de apparaatinstellingen - dit wordt veilig afgehandeld door de apparaatimplementatie/OEM.
-
Enige tijd later wil een app van derden dat een gebruiker zich authenticeert met behulp van biometrie.
-
De app geeft de wens van de gebruiker door aan het Framework.
-
Het framework zorgt voor de authenticatie. De gebruiker tikt in het geval van vingerafdrukbiometrie met zijn vingerafdruk op de sensor en de sensor controleert of de nieuwe vingerafdruk overeenkomt met een vooraf geregistreerd sjabloon.
-
Het framework vertelt de app van derden ja, de vingerafdruk komt overeen met de sjabloon die bij het apparaat is geregistreerd - of nee, deze vingerafdruk wordt niet herkend. Maar op geen enkel moment wordt het biometrische materiaal van een gebruiker zelf gedeeld met een app van derden of het apparaat verlaten.
Dus... ja, je use case klinkt verdacht.
Mogelijk vindt u hier meer informatie over de aanbevolen implementatie.