Apakah aman membiarkan aplikasi menggunakan Touch ID pada perangkat iOS?

Ada beberapa aplikasi yang memungkinkan masuk melalui ID Sentuh (misalnya aplikasi perbankan).

Saya tahu bahwa relatif aman untuk menggunakan fitur ini selama tidak ada yang memiliki akses ilegal ke sidik jari saya, dan perangkat ini tidak diakses secara fisik.

Tetapi bagaimana jika database aplikasi dikompromikan ?

Informasi apa yang akan dibocorkan? Apa jenis tindakan yang dapat diambil dengan informasi ini? Apakah iOS melindungi informasi ini agar tidak bocor? Apakah ini didokumentasikan di suatu tempat?

Saya bisa menebak bahwa aplikasi tidak akan diberikan akses langsung ke foto sidik jari, harus ada semacam hash yang tidak memungkinkan memulihkan sidik jari yang asli. Dalam kasus yang ideal, iOS bahkan tidak akan mengizinkan aplikasi untuk mengakses hash, sebaliknya itu akan memberikan beberapa cara otorisasi.

Aplikasi tidak memiliki akses ke data sidik jari yang tersimpan di perangkat. API yang disediakan oleh Apple memberitahu aplikasi jika proses auth berhasil dengan nilai ya / tidak sederhana. Tidak ada hash yang disediakan. Berikut dokumentasinya .

Juga data sidik jari disimpan dalam "Enklave Aman" perangkat dan tidak dapat diakses.

Secure Enclave adalah bagian dari A7 dan chip yang lebih baru yang digunakan untuk Touch ID. Di dalam Enklave Aman, data sidik jari disimpan dalam bentuk terenkripsi yang - menurut Apple - hanya dapat didekripsi dengan kunci yang tersedia oleh Enklave Aman sehingga membuat data sidik jari tertutup dari sisa A7 Chip dan sisa iOS lainnya. .

Sumber: Wiki iPhone

Ya, sangat aman untuk menggunakan Touch ID di iPhone.

Aplikasi yang menggunakan Touch ID tidak memiliki akses ke sidik jari Anda, atau hash apa pun yang dihasilkan dari sidik jari Anda. Aplikasi sebenarnya tidak memproses pencocokan sidik jari itu sendiri, melainkan memanggil API ID Sentuh (sistem) yang kemudian akan mengirim hasilnya kembali ke aplikasi. Jadi, semua aplikasi akan menerima apakah trueatau false, tergantung pada apakah itu berhasil.

Dengan demikian, aplikasi ini tidak perlu memiliki akses ke segala jenis hash dan seluruh proses Touch ID dilakukan oleh sistem iPhone Anda (iOS), mirip dengan cara Anda membuka kunci ponsel dengan Touch ID.

Seperti yang dijelaskan 9to5mac :

Saat pengembang menginginkan pengguna aplikasi untuk mengotentikasi, mereka tidak terlibat dalam seluk-beluk bagaimana otentikasi dilakukan. Mereka hanya menggunakan kode yang meminta iOS untuk melakukannya untuk mereka - apa yang Apple sebut sebagai kerangka Otentikasi Lokal.

(penekanan milikku)

Dan AppleInsider menjelaskan:

Apple menjaga Touch ID aman dengan tidak memberikan akses aplikasi ke data sidik jari apa pun yang disimpan di kantong aman iPhone . Prompt yang muncul sama dengan yang sudah digunakan Apple untuk mengesahkan pembelian iTunes dan App Store.

(penekanan milikku)

Ya - benar-benar aman.

Data Touch ID Anda disimpan secara lokal di perangkat Anda dan tidak dapat diakses oleh Apple atau pihak ke-3 lainnya.

Ketika Anda menggunakan Touch ID untuk aplikasi pihak ke-3 misalnya, itu akan mengotorisasi akses Anda secara lokal dan aplikasi itu tidak akan melihat data sidik jari Anda, hanya bahwa iPhone Anda yang mengotorisasi itu.

Saya pribadi menggunakan Touch ID untuk aplikasi PayPal saya dan juga beberapa layanan tepercaya lainnya.

(Jika Anda khawatir, mungkin tidak menggunakannya untuk perusahaan yang tidak sepenuhnya Anda percayai - meskipun secara fisik tidak mungkin bagi mereka untuk melihat data Touch ID Anda.)