Czy bezpieczne jest używanie aplikacji Touch ID na urządzeniu z systemem iOS?

Niektóre aplikacje umożliwiają logowanie za pomocą Touch ID (na przykład aplikacje bankowe).

Wiem, że korzystanie z tej funkcji jest względnie bezpieczne, o ile nikt nie ma nielegalnego dostępu do moich odcisków palców, a urządzenie nie jest fizycznie dostępne.

Ale co, jeśli baza danych aplikacji zostanie naruszona ?

Jakie informacje zostaną ujawnione? Jakie działania można podjąć, mając te informacje? Czy iOS chroni te informacje przed wyciekiem? Czy to gdzieś jest udokumentowane?

Domyślam się, że aplikacja nie uzyska bezpośredniego dostępu do zdjęcia odcisków palców, powinien istnieć jakiś skrót, który nie pozwala na przywrócenie oryginalnego odcisku palca. W idealnym przypadku iOS nawet nie pozwoliłby aplikacji na dostęp do skrótu, zamiast tego zapewniłby pewien sposób autoryzacji.

Aplikacja nie ma dostępu do danych odcisków palców przechowywanych na urządzeniu. Interfejs API udostępniony przez Apple informuje aplikację, czy proces uwierzytelnienia zakończył się powodzeniem za pomocą prostej wartości tak / nie. Nie podano skrótu. Oto dokumentacja .

Również dane odcisków palców są przechowywane w „Bezpiecznej enklawie” urządzenia i nie są dostępne.

Bezpieczna Enklawa jest częścią A7 i nowszych układów używanych do Touch ID. W Bezpiecznej Enklawie dane odcisków palców są przechowywane w formie zaszyfrowanej, która - według Apple'a - może być odszyfrowana tylko kluczem dostępnym przez Bezpieczną Enklawę, dzięki czemu dane odcisków palców są zamaskowane od reszty A7 Chip i reszty iOS .

Źródło: iPhone Wiki

Tak, korzystanie z Touch ID na iPhonie jest całkowicie bezpieczne.

Aplikacje korzystające z Touch ID nie mają dostępu do Twojego odcisku palca ani żadnego skrótu wygenerowanego na podstawie odcisku palca. Aplikacja w rzeczywistości nie przetwarza dopasowywania odcisków palców, zamiast tego wywołuje interfejs API Touch ID (system), który następnie przesyła wynik z powrotem do aplikacji. Tak więc cała aplikacja otrzyma albo, truealbo false, w zależności od tego, czy się powiedzie.

W związku z tym aplikacja nie musi mieć dostępu do żadnego skrótu, a cały proces Touch ID odbywa się w systemie iPhone'a (iOS), podobnie jak w przypadku odblokowywania telefonu za pomocą Touch ID.

Jak wyjaśnia 9to5mac :

Gdy deweloper chce, aby użytkownik aplikacji uwierzytelniał się, nie angażuje się w drobiazgowy sposób przeprowadzania tego uwierzytelnienia. Po prostu używają kodu, który prosi iOS, aby zrobił to za nich - co Apple nazywa strukturą lokalnego uwierzytelniania.

(moje podkreślenie)

I AppleInsider wyjaśnia:

Apple zapewnił bezpieczeństwo Touch ID, nie zapewniając aplikacjom dostępu do danych odcisków palców przechowywanych w bezpiecznej enklawie iPhone'a . Wyświetlany monit jest taki sam, jak ten, który Apple już wykorzystuje do autoryzacji zakupów w iTunes i App Store.

(moje podkreślenie)

Tak - jest całkowicie bezpieczny.

Dane Touch ID są przechowywane lokalnie na Twoim urządzeniu i nie są dostępne dla Apple ani innych podmiotów zewnętrznych.

Gdy użyjesz Touch ID na przykład w aplikacji innej firmy, autoryzuje on twój dostęp lokalnie, a aplikacja nie będzie widzieć twoich danych odcisków palców, tylko że autoryzował go Twój iPhone.

Osobiście używam Touch ID w mojej aplikacji PayPal, a także w kilku innych zaufanych usługach.

(Jeśli się martwisz, być może nie używaj go w przypadku firm, którym w pełni nie ufasz - nawet jeśli fizycznie niemożliwe jest, aby zobaczyły Twoje dane Touch ID).