Ist es sicher, Apps die Verwendung von Touch ID auf einem iOS-Gerät zu erlauben?

21

Es gibt einige Apps, mit denen Sie sich über Touch ID anmelden können (z. B. Banking-Apps).

Ich weiß, dass die Verwendung dieser Funktion relativ sicher ist, solange niemand unberechtigten Zugriff auf meine Fingerabdrücke hat und physisch nicht auf das Gerät zugegriffen werden kann.

Aber was ist, wenn die Datenbank der Anwendung kompromittiert wird ?

Welche Art von Informationen werden durchgesickert? Welche Maßnahmen könnten mit diesen Informationen ergriffen werden? Schützt iOS diese Informationen vor dem Durchsickern? Ist das irgendwo dokumentiert?

Ich kann mir vorstellen, dass der Anwendung kein direkter Zugriff auf das Fingerabdruckfoto gewährt wird. Es sollte eine Art Hash geben, mit dem der ursprüngliche Fingerabdruck nicht wiederhergestellt werden kann. Im Idealfall würde iOS der App nicht einmal erlauben, auf einen Hash zuzugreifen, sondern eine Art Autorisierung ermöglichen.

Sasha Shpota
quelle
5
Solange niemand unerlaubten Zugriff auf meine Fingerabdrücke hat, tut ein Barkeeper dies, nachdem Sie Ihr Bier
ausgetrunken haben

Antworten:

38

Die Anwendung hat keinen Zugriff auf die auf dem Gerät gespeicherten Fingerabdruckdaten. Die von Apple bereitgestellte API teilt der App mit, ob der Authentifizierungsprozess erfolgreich war, und gibt einen einfachen Ja / Nein-Wert an. Es wird kein Hash bereitgestellt. Hier ist die Dokumentation .

Auch die Fingerabdruckdaten werden in der "Secure Enclave" des Geräts gespeichert und sind nicht zugänglich.

Die Secure Enclave ist Teil des A7 und neuerer Chips, die für die Touch ID verwendet werden. Innerhalb der Secure Enclave werden die Fingerabdruckdaten in verschlüsselter Form gespeichert, die laut Apple nur mit einem von der Secure Enclave zur Verfügung gestellten Schlüssel entschlüsselt werden können, wodurch Fingerabdruckdaten vom Rest des A7-Chips und dem Rest von iOS abgeschirmt werden .

Quelle: Das iPhone Wiki

Mateusz Szlosek
quelle
4
Dies ist wirklich der beste Weg für Benutzer und Entwickler. Ich möchte weder den Sicherheitsaufwand für den Zugriff auf die tatsächlichen Fingerabdruckdaten noch die Verantwortung für den Vergleich der gespeicherten Daten mit dem Scan. Wenn uns tatsächlich Bilder oder ähnliches zur Verfügung gestellt würden, wäre der Vergleich schmerzhaft, und wenn es sich nur um ein Paar Hashes handeln würde, wäre dies so trivial, dass es keinen Grund geben würde, warum das System dies nicht zuerst tun könnte. Es gibt einfach keinen guten Grund, warum Touch ID die Anzeige des Fingerabdrucks in die App einbeziehen sollte.
jscs
13

Ja, die Verwendung von Touch ID auf dem iPhone ist absolut sicher.

Apps, die Touch ID verwenden, haben weder Zugriff auf Ihren Fingerabdruck noch auf aus Ihrem Fingerabdruck generierten Hash. Die App verarbeitet den Fingerabdruck nicht selbst, sondern ruft die Touch ID-API (System) auf, die das Ergebnis an die App zurücksendet. Die App erhält also nur entweder trueoder false, je nachdem, ob sie erfolgreich ist.

Daher muss die App keinen Zugriff auf Hashes haben und der gesamte Touch ID-Prozess wird vom iPhone-System (iOS) ausgeführt, ähnlich wie Sie Ihr Telefon mit Touch ID entsperren.

Wie 9to5mac erklärt :

Wenn ein Entwickler möchte, dass sich ein App-Benutzer authentifiziert, spielt er keine Rolle, wie diese Authentifizierung durchgeführt wird. Sie verwenden nur Code, der iOS auffordert, dies für sie zu tun - das nennt Apple das Local Authentication Framework.

(Hervorhebung von mir)

Und AppleInsider erklärt:

Apple hat die Sicherheit von Touch ID gewährleistet, indem Apps keinen Zugriff auf die Fingerabdruckdaten erhalten, die in der sicheren Enklave eines iPhones gespeichert sind . Die angezeigte Eingabeaufforderung stimmt mit der überein, die Apple bereits zum Autorisieren von iTunes- und App Store-Käufen verwendet.

(Hervorhebung von mir)

Panda
quelle
Tatsächlich wurde in iOS 11 die Eingabeaufforderung für Apple Pay geändert, jedoch nicht für viele Apps. In der Tat ist die Aufforderung nicht erforderlich - einige Apps haben ihre eigene Animation
Tim
2

Ja - es ist absolut sicher.

Ihre Touch ID-Daten werden lokal auf Ihrem Gerät gespeichert und sind weder für Apple noch für Dritte zugänglich.

Wenn Sie die Touch ID beispielsweise für eine Drittanbieter-App verwenden, wird Ihr Zugriff lokal autorisiert und die App sieht Ihre Fingerabdruckdaten nicht, nur, dass Ihr iPhone sie autorisiert hat.

Ich persönlich verwende Touch ID für meine PayPal-App sowie einige andere vertrauenswürdige Dienste.

(Wenn Sie sich Sorgen machen, verwenden Sie es möglicherweise nicht für Unternehmen, denen Sie nicht vollständig vertrauen - auch wenn es physisch unmöglich ist, dass sie Ihre Touch ID-Daten sehen.)

Andre
quelle