Ler materiais biométricos de usuários e armazená-los em um banco de dados SQLite parece um uso suspeito de biometria no Android. Normalmente, algumas medidas de segurança são necessárias para coletar o material biométrico de um usuário no Android. Em dispositivos Android aprovados, nenhum aplicativo de terceiros pode ler o material biométrico de um usuário. A maneira como funciona é que o aplicativo de terceiros obtém a confirmação do Framework de que, de fato, o usuário registrado no dispositivo é o mesmo usuário que acabou de autenticar.
Normalmente fica assim:
-
O usuário registrou seus materiais biométricos com o dispositivo geralmente por meio das configurações do dispositivo - isso é tratado com segurança pela implementação do dispositivo/OEM.
-
Algum tempo depois, um aplicativo de terceiros quer que um usuário se autentique usando biometria.
-
O aplicativo retransmite o desejo do usuário para o Framework.
-
A estrutura lida com a autenticação. O usuário, no caso da biometria de impressão digital, toca sua impressão digital no sensor e o sensor verifica se a nova impressão digital corresponde a um modelo pré-cadastrado.
-
A estrutura informa ao aplicativo de terceiros que sim, a impressão digital corresponde ao modelo que foi registrado no dispositivo - ou não, essa impressão digital não é reconhecida. Mas em nenhum momento o material biométrico de um usuário é compartilhado com um aplicativo de terceiros ou autorizado a sair do dispositivo.
Então... sim, seu caso de uso parece suspeito.
Você pode encontrar mais informações sobre a implementação recomendada aqui.
