Чи безпечно дозволити програмам використовувати Touch ID на пристрої iOS?

Є деякі додатки, які дозволяють входити через Touch ID (наприклад, банківські програми).

Я знаю, що користуватися цією функцією відносно безпечно до тих пір, поки ніхто не має незаконного доступу до моїх відбитків пальців, а до пристрою немає фізичного доступу.

Але що робити, якщо база даних програми буде порушена ?

Яка інформація буде просочена? Які дії можна вжити, маючи цю інформацію? Чи захищає iOS цю інформацію від протікання? Це десь задокументовано?

Я можу здогадатися, що програма не отримає прямого доступу до фотографії з відбитками пальців, має бути якийсь хеш, який не дозволяє відновити оригінальний відбиток пальця. В ідеальному випадку iOS навіть не дозволить додатку отримати доступ до хешу, натомість він би надав певний спосіб авторизації.

У додатку немає доступу до даних відбитків пальців, що зберігаються на пристрої. API, наданий Apple, повідомляє програмі, чи процес авторизації був успішним простим значенням "так" чи "ні". Не надається хеш. Ось документація .

Також дані відбитків зберігаються у пристрої "Безпечний анклав" та недоступні.

Безпечний анклав є частиною A7 та новіших чіпів, які використовуються для Touch ID. У Безпечному анклаві дані відбитків зберігаються у зашифрованому вигляді, який - на думку Apple - може бути розшифрований лише ключем, доступним у безпечному анклаві, завдяки чому дані відбитків пальців відхиляються від решти мікросхеми A7 та решти iOS .

Джерело: iPhone Wiki

Так, користуватися Touch ID на iPhone абсолютно безпечно.

Додатки, які використовують Touch ID, не мають доступу до вашого відбитка пальців, а також геш-генеру, створеного від вашого відбитка пальця. Додаток насправді не обробляє відповідність відбитків пальців, скоріше, він викликає API Touch ID (систему), який потім відправить результат назад у додаток. Отже, все, що отримує додаток, або є, trueабо falseзалежно від того, чи успішно воно.

Таким чином, додатку не потрібно мати доступ до будь-якого виду хешу, і весь процес Touch ID відбувається за допомогою системи вашого iPhone (iOS), подібно до того, як ви розблоковуєте телефон із Touch ID.

Як пояснює 9to5mac :

Коли розробник хоче, щоб користувач програми підтверджував автентифікацію, вони не втягуються в суворий спосіб того, як виконується така автентифікація. Вони просто використовують код, який просить iOS зробити це за них - те, що Apple називає рамкою локальної аутентифікації.

(наголос мій)

І AppleInsider пояснює:

Apple захистила Touch ID безпекою, не надаючи додаткам доступ до будь-яких даних відбитків пальців, що зберігаються в захищеному анклаві iPhone . З'являється відповідний запит такий же, як той, який Apple вже використовує для авторизації iTunes та App Store.

(наголос мій)

Так - це абсолютно безпечно.

Дані Touch ID зберігаються локально на вашому пристрої та не доступні Apple або будь-яким іншим сторонам.

Наприклад, якщо ви використовуєте Touch ID, наприклад, для стороннього додатка, він дозволить отримати доступ локально, і додаток не побачить ваші дані відбитків пальців, лише якщо ваш iPhone це дозволив.

Я особисто використовую Touch ID для своєї програми PayPal, а також декількох інших надійних послуг.

(Якщо ви переживаєте, можливо, не використовуйте це для компаній, яким ви повністю не довіряєте, - хоча фізично неможливо побачити дані Touch ID.)