¿Es seguro permitir que las aplicaciones usen Touch ID en un dispositivo iOS?

Hay algunas aplicaciones que permiten iniciar sesión a través de Touch ID (por ejemplo, aplicaciones bancarias).

Sé que es relativamente seguro usar esta función siempre y cuando nadie tenga acceso ilícito a mis huellas digitales y no se acceda físicamente al dispositivo.

Pero, ¿qué pasa si la base de datos de la aplicación se ve comprometida ?

¿Qué tipo de información se filtrará? ¿Qué tipo de acciones podrían tomarse con esta información? ¿IOS protege esta información de que se filtre? ¿Está esto documentado en alguna parte?

Puedo adivinar que la aplicación no tendrá acceso directo a la foto de la huella digital, debería haber algún tipo de hash que no permita restaurar la huella digital original. En el caso ideal, iOS ni siquiera permitiría que la aplicación acceda a un hash, sino que proporcionaría alguna forma de autorización.

La aplicación no tiene acceso a los datos de huellas digitales almacenados en el dispositivo. La API proporcionada por Apple le dice a la aplicación si el proceso de autenticación fue exitoso por un simple valor de sí / no. No se proporciona hash. Aquí está la documentación .

Además, los datos de huellas digitales se almacenan en el "Enclave seguro" del dispositivo y no son accesibles.

Secure Enclave es parte del A7 y los chips más nuevos utilizados para Touch ID. Dentro de Secure Enclave, los datos de huellas digitales se almacenan en forma cifrada que, según Apple, solo puede ser descifrada por una clave disponible por Secure Enclave, lo que hace que los datos de huellas digitales se tapen del resto del Chip A7 y el resto de iOS .

Fuente: iPhone Wiki

Sí, es perfectamente seguro usar Touch ID en iPhone.

Las aplicaciones que usan Touch ID no tienen acceso a su huella digital, ni a ningún hash generado a partir de su huella digital. La aplicación en realidad no procesa la coincidencia de la huella digital, sino que llama a la API (sistema) Touch ID que luego enviará el resultado a la aplicación. Por lo tanto, todo lo que recibirá la aplicación es trueo false, dependiendo de si tiene éxito.

Por lo tanto, la aplicación no necesita tener acceso a ningún tipo de hash y todo el proceso de Touch ID lo realiza el sistema de su iPhone (iOS), de forma similar a cómo desbloquea su teléfono con Touch ID.

Como explica 9to5mac :

Cuando un desarrollador quiere que un usuario de la aplicación se autentique, no se involucra en el meollo de cómo se realiza esa autenticación. Ellos sólo tiene que utilizar el código que pide iOS para hacerlo por ellos - lo que Apple llama el marco de autenticación local.

(énfasis mío)

Y AppleInsider explica:

Apple ha mantenido segura la identificación táctil al no proporcionar acceso a las aplicaciones a ninguno de los datos de huellas digitales almacenados en el enclave seguro de un iPhone . El mensaje que aparece es el mismo que Apple ya usa para autorizar las compras de iTunes y App Store.

(énfasis mío)

Sí, es totalmente seguro.

Sus datos de Touch ID se almacenan localmente en su dispositivo y Apple o cualquier otro tercero no puede acceder a ellos.

Cuando utiliza Touch ID para una aplicación de terceros, por ejemplo, autorizará su acceso localmente y la aplicación no verá sus datos de huellas digitales, solo que su iPhone lo ha autorizado.

Yo personalmente uso Touch ID para mi aplicación de PayPal, así como algunos otros servicios confiables.

(Si está preocupado, tal vez no lo use para compañías en las que no confía por completo, a pesar de que es físicamente imposible para ellos ver sus datos de Touch ID).