Безопасно ли позволять приложениям использовать Touch ID на устройстве iOS?

Есть некоторые приложения, которые позволяют войти через Touch ID (например, банковские приложения).

Я знаю, что использовать эту функцию относительно безопасно, если никто не имеет незаконного доступа к моим отпечаткам пальцев, а устройство не имеет физического доступа.

Но что, если база данных приложения будет взломана ?

Какая информация будет просочиться? Какие действия можно предпринять, используя эту информацию? Защищает ли iOS эту информацию от утечки? Это где-то задокументировано?

Я могу предположить, что приложению не будет предоставлен прямой доступ к фотографии отпечатка пальца, должен быть какой-то хэш, который не позволяет восстановить исходный отпечаток пальца. В идеальном случае iOS даже не позволяла бы приложению получать доступ к хешу, вместо этого это обеспечивало бы некоторый способ авторизации.

Приложение не имеет доступа к данным отпечатков пальцев, хранящимся на устройстве. API, предоставляемый Apple, сообщает приложению, был ли успешным процесс аутентификации, простым значением да / нет. Хэш не предоставляется. Вот документация .

Также данные отпечатков пальцев хранятся в «Безопасном анклаве» устройства и недоступны.

Secure Enclave является частью A7 и более новых чипов, используемых для Touch ID. В Secure Enclave данные отпечатков пальцев хранятся в зашифрованном виде, который, по мнению Apple, может быть расшифрован только с помощью ключа, доступного в Secure Enclave, что делает данные отпечатков пальцев защищенными от остальной части чипа A7 и остальной части iOS. ,

Источник: вики iPhone

Да, совершенно безопасно использовать Touch ID на iPhone.

Приложения, использующие Touch ID, не имеют доступа ни к вашему отпечатку пальца, ни к хешу, созданному из вашего отпечатка пальца. Приложение на самом деле не обрабатывает соответствующий отпечаток пальца, а вызывает API Touch ID (система), который затем отправляет результат обратно в приложение. Таким образом, все приложение получит либо, trueлибо false, в зависимости от того, будет ли оно успешным.

Таким образом, приложению не требуется доступ к каким-либо хэшам, и весь процесс Touch ID выполняется системой iPhone (iOS), подобно тому, как вы разблокируете свой телефон с помощью Touch ID.

Как объясняет 9to5mac :

Когда разработчик хочет, чтобы пользователь приложения прошел аутентификацию, он не вмешивается в подробности того, как выполняется эта аутентификация. Они просто используют код, который просит iOS сделать это для них - то, что Apple называет фреймворком локальной аутентификации.

(акцент мой)

И AppleInsider объясняет:

Apple обеспечила безопасность Touch ID, не предоставляя приложениям доступ к любым данным отпечатков пальцев, хранящимся в защищенном анклаве iPhone . Появится приглашение, аналогичное тому, которое Apple уже использует для авторизации покупок в iTunes и App Store.

(акцент мой)

Да, это абсолютно безопасно.

Ваши данные Touch ID хранятся локально на вашем устройстве и не доступны Apple или любым третьим лицам.

Например, когда вы используете Touch ID для стороннего приложения, оно авторизует ваш доступ локально, и приложение не будет видеть ваши отпечатки пальцев, только если ваш iPhone разрешил их.

Я лично использую Touch ID для своего приложения PayPal, а также нескольких других надежных сервисов.

(Если вы беспокоитесь, возможно, не используйте его для компаний, которым вы не полностью доверяете - даже если им физически невозможно увидеть ваши данные Touch ID.)