iOSデバイスでアプリにTouch IDを使用させることは安全ですか？

Touch ID経由でのログインを許可するアプリ（銀行アプリなど）がいくつかあります。

誰も私の指紋に不正にアクセスできず、デバイスが物理的にアクセスされない限り、この機能を使用することは比較的安全であることを知っています。

しかし、アプリケーションのデータベースが危険にさらされたらどうなりますか？

どのような情報が漏洩しますか？この情報を使用して、どのようなアクションを実行できますか？iOSはこの情報が漏洩するのを防ぎますか？これはどこかに文書化されていますか？

私は、アプリケーションが指紋写真に直接アクセスすることを許可されないと推測できます。元の指紋を復元できないようなハッシュがあるはずです。理想的なケースでは、iOSはアプリがハッシュにアクセスすることさえ許可せず、代わりに何らかの認証方法を提供します。

アプリケーションは、デバイスに保存されている指紋データにアクセスできません。Appleが提供するAPIは、単純なyes / no値によって認証プロセスが成功したかどうかをアプリに伝えます。ハッシュは提供されません。これがドキュメントです。

また、指紋データはデバイスの「Secure Enclave」に保存されており、アクセスできません。

Secure Enclaveは、Touch IDに使用されるA7以降のチップの一部です。Secure Enclave内では、指紋データは暗号化された形式で保存され、Appleによると、Secure Enclaveで使用可能なキーによってのみ復号化できるため、指紋データはA7チップの残りとiOSの残りから保護されます。 。

ソース：iPhone Wiki

はい、iPhoneでTouch IDを使用するのは完全に安全です。

Touch IDを使用するアプリは、指紋にアクセスしたり、指紋から生成されたハッシュを使用したりできません。アプリは実際に指紋照合自体を処理するのではなく、Touch ID API（システム）を呼び出して、結果をアプリに送り返します。したがって、アプリが受け取るのは、成功したかどうかに応じてtrueまたはのいずれかfalseです。

したがって、アプリはどのような種類のハッシュにもアクセスする必要がなく、Touch IDを使用して携帯電話をロック解除する方法と同様に、Touch IDプロセス全体がiPhoneのシステム（iOS）によって実行されます。

9to5macは説明します：

開発者がアプリのユーザーに認証を求める場合、その認証の実行方法の要点に関与することはありません。彼らはiOSに要求するコードを使用するだけで、Appleがローカル認証フレームワークと呼んでいます。

（エンファシス鉱山）

そして、AppleInsiderは説明しています。

Appleは、iPhoneの安全な飛び地に保存されている指紋データへのアクセスをアプリに提供しないことにより、Touch IDを安全に保ちました。表示されるプロンプトは、AppleがiTunesおよびApp Storeでの購入を許可するために既に使用しているプロンプトと同じです。

（エンファシス鉱山）

はい-それは完全に安全です。

Touch IDデータはデバイスにローカルに保存され、Appleや他のサードパーティからはアクセスできません。

たとえば、サードパーティのアプリにTouch IDを使用すると、ローカルでのアクセスが許可され、iPhoneが承認した指紋データのみがアプリに表示されます。

私は個人的にPayPalアプリや他のいくつかの信頼できるサービスにTouch IDを使用しています。

（心配な場合は、Touch IDデータを見ることが物理的に不可能であっても、完全に信頼していない企業には使用しないでください。）