Безопасно ли позволять приложениям использовать Touch ID на устройстве iOS?

21

Есть некоторые приложения, которые позволяют войти через Touch ID (например, банковские приложения).

Я знаю, что использовать эту функцию относительно безопасно, если никто не имеет незаконного доступа к моим отпечаткам пальцев, а устройство не имеет физического доступа.

Но что, если база данных приложения будет взломана ?

Какая информация будет просочиться? Какие действия можно предпринять, используя эту информацию? Защищает ли iOS эту информацию от утечки? Это где-то задокументировано?

Я могу предположить, что приложению не будет предоставлен прямой доступ к фотографии отпечатка пальца, должен быть какой-то хэш, который не позволяет восстановить исходный отпечаток пальца. В идеальном случае iOS даже не позволяла бы приложению получать доступ к хешу, вместо этого это обеспечивало бы некоторый способ авторизации.

Саша Шпота
источник
5
до тех пор, пока никто не имеет незаконного доступа к моим отпечаткам пальцев, который есть у любого бармена после того, как ты
выпил
Также посмотрите ваши небезопасные отпечатки пальцев .
Wildcard

Ответы:

38

Приложение не имеет доступа к данным отпечатков пальцев, хранящимся на устройстве. API, предоставляемый Apple, сообщает приложению, был ли успешным процесс аутентификации, простым значением да / нет. Хэш не предоставляется. Вот документация .

Также данные отпечатков пальцев хранятся в «Безопасном анклаве» устройства и недоступны.

Secure Enclave является частью A7 и более новых чипов, используемых для Touch ID. В Secure Enclave данные отпечатков пальцев хранятся в зашифрованном виде, который, по мнению Apple, может быть расшифрован только с помощью ключа, доступного в Secure Enclave, что делает данные отпечатков пальцев защищенными от остальной части чипа A7 и остальной части iOS. ,

Источник: вики iPhone

Матеуш Шлосек
источник
4
Это действительно лучший способ для пользователей и разработчиков. Я не хочу ни хлопот с безопасностью иметь доступ к фактическим данным отпечатка пальца, ни ответственности сравнивать сохраненные данные со сканированием. Если бы нам на самом деле предоставляли изображения или аналогичные изображения, сравнение было бы болезненным, а если бы это была просто пара хешей, это было бы настолько тривиально, что не было бы никакой причины, чтобы система не смогла сделать это первой. Просто нет веской причины, по которой в Touch ID приложение должно видеть отпечаток пальца.
ОАО
13

Да, совершенно безопасно использовать Touch ID на iPhone.

Приложения, использующие Touch ID, не имеют доступа ни к вашему отпечатку пальца, ни к хешу, созданному из вашего отпечатка пальца. Приложение на самом деле не обрабатывает соответствующий отпечаток пальца, а вызывает API Touch ID (система), который затем отправляет результат обратно в приложение. Таким образом, все приложение получит либо, trueлибо false, в зависимости от того, будет ли оно успешным.

Таким образом, приложению не требуется доступ к каким-либо хэшам, и весь процесс Touch ID выполняется системой iPhone (iOS), подобно тому, как вы разблокируете свой телефон с помощью Touch ID.

Как объясняет 9to5mac :

Когда разработчик хочет, чтобы пользователь приложения прошел аутентификацию, он не вмешивается в подробности того, как выполняется эта аутентификация. Они просто используют код, который просит iOS сделать это для них - то, что Apple называет фреймворком локальной аутентификации.

(акцент мой)

И AppleInsider объясняет:

Apple обеспечила безопасность Touch ID, не предоставляя приложениям доступ к любым данным отпечатков пальцев, хранящимся в защищенном анклаве iPhone . Появится приглашение, аналогичное тому, которое Apple уже использует для авторизации покупок в iTunes и App Store.

(акцент мой)

Панда
источник
На самом деле в iOS 11 подсказка изменилась для Apple Pay, но не для многих приложений. На самом деле, подсказка не требуется - некоторые приложения имеют собственную анимацию
Тим
2

Да, это абсолютно безопасно.

Ваши данные Touch ID хранятся локально на вашем устройстве и не доступны Apple или любым третьим лицам.

Например, когда вы используете Touch ID для стороннего приложения, оно авторизует ваш доступ локально, и приложение не будет видеть ваши отпечатки пальцев, только если ваш iPhone разрешил их.

Я лично использую Touch ID для своего приложения PayPal, а также нескольких других надежных сервисов.

(Если вы беспокоитесь, возможно, не используйте его для компаний, которым вы не полностью доверяете - даже если им физически невозможно увидеть ваши данные Touch ID.)

Andre
источник