È sicuro lasciare che le app utilizzino Touch ID su un dispositivo iOS?

19

Ci sono alcune app che consentono l'accesso tramite Touch ID (ad esempio le app bancarie).

So che è relativamente sicuro utilizzare questa funzione finché nessuno ha accesso illecito alle mie impronte digitali e il dispositivo non è fisicamente accessibile.

Ma cosa succede se il database dell'applicazione viene compromesso ?

Che tipo di informazioni saranno trapelate? Che tipo di azioni potrebbero essere intraprese con queste informazioni? IOS protegge queste informazioni da perdite? È documentato da qualche parte?

Posso immaginare che l'applicazione non avrà accesso diretto alla foto con le impronte digitali, ci dovrebbe essere una sorta di hash che non consente il ripristino della stampa originale. Nel caso ideale, iOS non consentirebbe nemmeno all'app di accedere a un hash, ma fornirebbe un qualche modo di autorizzare.

    
posta Oleksandr Shpota 15.12.2017 - 12:49
fonte

3 risposte

37

L'applicazione non ha accesso ai dati delle impronte digitali memorizzati sul dispositivo. L'API fornita da Apple dice all'app se il processo di autenticazione ha avuto successo con un semplice valore sì / no. Nessun hash è fornito. Ecco la documentazione .

Anche i dati delle impronte digitali sono memorizzati nella "Secure Enclave" del dispositivo e non sono accessibili.

The Secure Enclave is part of the A7 and newer chips used for Touch ID. Within the Secure Enclave, the fingerprint data is stored in an encrypted form which - according to Apple - can only be decrypted by a key available by the Secure Enclave thus making fingerprint data walled off from the rest of the A7 Chip and the rest of iOS.

Fonte: Wiki iPhone

    
risposta data 15.12.2017 - 13:12
fonte
13

Sì, è perfettamente sicuro utilizzare Touch ID su iPhone.

Le app che utilizzano Touch ID non hanno accesso alle impronte digitali, né alcun hash generato dall'impronta digitale. L'app in realtà non elabora le impronte digitali corrispondenti, piuttosto chiama l'API Touch ID (sistema) che invierà quindi il risultato all'app. Quindi, tutta l'app riceverà o true o false , a seconda che abbia successo.

Pertanto, l'app non ha bisogno di accedere a nessun tipo di hash e l'intero processo Touch ID viene eseguito dal sistema del tuo iPhone (iOS), in modo simile a come sblocchi il tuo telefono con Touch ID.

Come 9to5mac spiega :

When a developer wants an app user to authenticate, they don’t get involved in the nitty-gritty of how that authentication is performed. They just use code that asks iOS to do it for them – what Apple calls the Local Authentication framework.

(emphasis mine)

E AppleInsider spiega:

Apple has kept Touch ID secure by not providing apps access to any of the fingerprint data stored on an iPhone's secure enclave. The prompt that appears is the same as the one Apple already uses to authorize iTunes and App Store purchases.

(emphasis mine)

    
risposta data 15.12.2017 - 13:11
fonte
2

Sì, è totalmente sicuro.

I tuoi dati Touch ID sono archiviati localmente sul tuo dispositivo e non sono accessibili da Apple o da terze parti.

Ad esempio, se utilizzi Touch ID per un'app di terze parti, autorizza l'accesso a livello locale e l'app non vedrà i tuoi dati relativi alle impronte digitali, solo che l'iPhone l'ha autorizzato.

Personalmente uso Touch ID per la mia app di PayPal e alcuni altri servizi affidabili.

(Se sei preoccupato, forse non usarlo per le aziende di cui non ti fidi completamente - anche se è fisicamente impossibile per loro vedere i tuoi dati Touch ID.)

    
risposta data 15.12.2017 - 13:15
fonte

Leggi altre domande sui tag