È sicuro consentire alle app di utilizzare Touch ID su un dispositivo iOS?

Esistono alcune app che consentono l'accesso tramite Touch ID (ad esempio app bancarie).

So che è relativamente sicuro utilizzare questa funzione purché nessuno abbia accesso illecito alle mie impronte digitali e al dispositivo non si acceda fisicamente.

Ma cosa succede se il database dell'applicazione viene compromesso ?

Che tipo di informazioni saranno divulgate? Che tipo di azioni potrebbero essere intraprese con queste informazioni? IOS protegge queste informazioni da eventuali perdite? Questo è documentato da qualche parte?

Posso immaginare che all'applicazione non verrà concesso l'accesso diretto alla foto dell'impronta digitale, dovrebbe esserci un qualche tipo di hash che non consente di ripristinare l'impronta digitale originale. Nel caso ideale, iOS non consentirebbe nemmeno all'app di accedere a un hash, invece fornirebbe un modo di autorizzare.

L'applicazione non ha accesso ai dati delle impronte digitali memorizzati sul dispositivo. L'API fornita da Apple indica all'app se il processo di autenticazione ha avuto esito positivo con un semplice valore sì / no. Non viene fornito alcun hash. Ecco la documentazione .

Inoltre, i dati relativi alle impronte digitali sono memorizzati nella "Secure Enclave" del dispositivo e non sono accessibili.

Secure Enclave fa parte dell'A7 e dei chip più recenti utilizzati per Touch ID. All'interno di Secure Enclave, i dati delle impronte digitali sono archiviati in una forma crittografata che - secondo Apple - può essere decrittografata solo da una chiave disponibile da Secure Enclave, rendendo così i dati delle impronte digitali murati dal resto del chip A7 e dal resto di iOS .

Fonte: Wiki per iPhone

Sì, è perfettamente sicuro usare Touch ID su iPhone.

Le app che utilizzano Touch ID non hanno accesso all'impronta digitale né alcun hash generato dall'impronta digitale. L'app non elabora effettivamente la corrispondenza dell'impronta digitale, ma chiama l'API Touch ID (sistema) che invierà quindi il risultato all'app. Quindi, tutta l'app che riceverà è una trueo false, a seconda che abbia esito positivo.

Pertanto, l'app non deve avere accesso a nessun tipo di hash e l'intero processo Touch ID viene eseguito dal sistema del tuo iPhone (iOS), in modo simile a come sblocchi il telefono con Touch ID.

Come spiega 9to5mac :

Quando uno sviluppatore desidera che un utente di app esegua l'autenticazione, non viene coinvolto nella nitidezza di come viene eseguita tale autenticazione. Usano solo il codice che chiede a iOS di farlo per loro - quello che Apple chiama il framework di autenticazione locale.

(enfatizzare il mio)

E AppleInsider spiega:

Apple ha mantenuto Touch ID sicuro non fornendo alle app l'accesso a nessuno dei dati delle impronte digitali archiviati nell'enclave sicura di un iPhone . Il prompt che appare è lo stesso di quello che Apple già utilizza per autorizzare gli acquisti di iTunes e App Store.

(enfatizzare il mio)

Sì, è totalmente sicuro.

I tuoi dati Touch ID sono memorizzati localmente sul tuo dispositivo e non sono accessibili da Apple o da terze parti.

Quando usi Touch ID per un'app di terze parti, ad esempio, autorizzerà l'accesso localmente e l'app non vedrà i dati delle tue impronte digitali, ma solo che il tuo iPhone lo ha autorizzato.

Personalmente utilizzo Touch ID per la mia app PayPal e alcuni altri servizi affidabili.

(Se sei preoccupato, forse non usarlo per aziende di cui non ti fidi completamente, anche se è fisicamente impossibile per loro vedere i tuoi dati Touch ID.)