¿Es seguro permitir que las aplicaciones usen Touch ID en un dispositivo iOS?

Navega tus respuestas
19

Hay algunas aplicaciones que permiten iniciar sesión a través de Touch ID (por ejemplo, aplicaciones bancarias).

Sé que es relativamente seguro usar esta función siempre que nadie tenga acceso ilícito a mis huellas digitales y no se pueda acceder físicamente al dispositivo.

Pero ¿qué pasa si la base de datos de la aplicación se ve comprometida ?

¿Qué tipo de información se filtrará? ¿Qué tipo de acciones se podrían tomar teniendo esta información? ¿Protege iOS esta información de ser filtrada? ¿Está esto documentado en alguna parte?

Puedo suponer que a la aplicación no se le dará acceso directo a la foto de la huella digital, debería haber algún tipo de hash que no permita restaurar la huella digital original. En el caso ideal, iOS ni siquiera permitiría que la aplicación acceda a un hash, sino que proporcionaría alguna forma de autorización.

    
pregunta Oleksandr Shpota 15.12.2017 - 12:49

3 respuestas

37

La aplicación no tiene acceso a los datos de huellas dactilares almacenados en el dispositivo. La API proporcionada por Apple le dice a la aplicación si el proceso de autenticación fue exitoso por un simple valor de sí / no. No se proporciona hash. Aquí está la documentación .

También los datos de huellas dactilares se almacenan en el "Enclave seguro" del dispositivo y no son accesibles.

  

El Enclave seguro es parte del A7 y los chips más nuevos utilizados para Touch ID. Dentro de Secure Enclave, los datos de las huellas dactilares se almacenan de forma cifrada que, según Apple, solo se pueden descifrar mediante una clave disponible por Secure Enclave, lo que hace que los datos de las huellas dactilares queden fuera del resto del A7 Chip y del resto de iOS. .

Fuente: El iPhone Wiki

    
respondido por el Mateusz Szlosek 15.12.2017 - 13:12
13

Sí, es perfectamente seguro usar Touch ID en iPhone.

Las aplicaciones que usan Touch ID no tienen acceso a su huella digital, ni ningún hash generado a partir de su huella digital. En realidad, la aplicación no procesa la coincidencia de huellas dactilares, sino que llama a la API de identificación táctil (sistema) que luego enviará el resultado a la aplicación. Por lo tanto, toda la aplicación recibirá es true o false , dependiendo de si tiene éxito.

Por lo tanto, la aplicación no necesita tener acceso a ningún tipo de hash y todo el proceso de Touch ID se realiza mediante el sistema de su iPhone (iOS), similar a la forma en que desbloquea su teléfono con Touch ID.

Como 9to5mac explica :

  

Cuando un desarrollador quiere que un usuario de la aplicación se autentique, no se involucra en el meollo de la cuestión de cómo se realiza esa autenticación. Solo usan el código que le pide a iOS que lo haga por ellos , lo que Apple llama el marco de autenticación local.

     

(énfasis mío)

Y AppleInsider explica:

  

Apple ha mantenido segura la identificación táctil porque no proporciona acceso a las aplicaciones a ninguno de los datos de huellas dactilares almacenados en el enclave seguro de un iPhone . La solicitud que aparece es la misma que Apple ya utiliza para autorizar las compras de iTunes y App Store.

     

(énfasis mío)

    
respondido por el Panda 15.12.2017 - 13:11
2

Sí, es totalmente seguro.

Sus datos de Touch ID se almacenan localmente en su dispositivo y no son accesibles por Apple o por terceros.

Por ejemplo, cuando use Touch ID para una aplicación de terceros, autorizará su acceso localmente y la aplicación no verá sus datos de huellas digitales, solo que su iPhone lo haya autorizado.

Personalmente uso Touch ID para mi aplicación de PayPal, así como algunos otros servicios confiables.

(Si está preocupado, tal vez no lo use para compañías en las que no confía plenamente, aunque es físicamente imposible que vean sus datos de Touch ID).

    
respondido por el Andre 15.12.2017 - 13:15

Lea otras preguntas en las etiquetas

¿Buen software para ver videos en Mac? ¿Puedo usar auriculares que no sean de Apple con un iPhone?