本文首次从指纹认证生命周期的角度，对Android应用中指纹API（FpAPI）的误用进行了系统性的实证分析。研究首先开发了专用工具来识别和分析使用FpAPI的应用，并考察其特性。接着，通过详细的生命周期分析，定义了威胁模型并分类了四种常见的FpAPI误用类型。最后，开发了自动检测工具对1333个使用指纹认证的应用进行检测，发现令人震惊的结果：97.15%的应用至少存在一种误用，18.83%的应用存在所有已识别的误用类型。这些误用的后果严重，包括未经授权的数据访问、账户被盗甚至财务损失，影响大量用户。研究团队已负责任地报告这些漏洞，获得了184个CVE编号和19个CNVD编号，并得到15家厂商的确认。这项工作旨在提高对FpAPI正确使用重要性的认识。