Apple 在发布会强调指纹信息不会被上传同步，那么机内的安全性如何？在越狱情况下是否会被第三方程序直接访问到指纹信息？之前的 iOS 系统中有没有类似安全级别的信息，即使越狱之后仍然无法读取？

【Bill Cheng的回答(55票)】:

针对修改过后的问题作答：

储存位置未知，虽然苹果说在A7芯片里面，不过在我们拆了iPhone 5s之前，没法证实。就像iPhone 5s 采用的指纹识别 (Touch ID) 会有哪些安全隐患？这个里面提到的真实度我们也没法知道一样。 够不够安全，对于越狱用户来说，永远是不安全的。因为越狱就是把你机器上所有硬件和软件的操控权交给所有越狱后安装的程序。 对于非越狱用户来说，挺安全的，至少在发现Bug之前是如此。但安全度还是要等到iPhone 5s到手，拆了机器和系统才知道。 iOS系统中确实存在安全级别的信息，而且还不止一种 首先iOS系统内置了一个通用的密码储存库，这个库主要是给iOS系统和第三方来储存重要密码数据的，这部分数据在越狱之后可以被第三方软件直接破解访问，甚至某些越狱后安装的安全软件可以劫持所有向这个密码库储存的密码明文。对了，这个玩意就是所谓的KeyChain，越狱了的同学可以去/private/var/Keychains/keychain-2.db围观内容和数据结构。[1] 然后iOS系统还内置另外一层加密方案，那就是在你开启了iOS系统锁屏密码之后，所有软件的内容可以被归入一个加密的储存空间，当然这个储存空间的使用也是软件开发者自己决定的。关于这个储存空间，我个人没有详细研究，不过我可以明确的告诉大家，这部分内容在越狱之后也是可以完全读取的。越狱之后的机器基本上可以绕过所有的iOS系统内建加密机制，这一点上我猜测是越狱在执行的需要下屏蔽了iOS设备硬件加密模块所致的。 谈完了上面的东西，我们来谈一下这个Touch ID。 在没有拿到iPhone5s之前，对于Touch ID这个玩意的储存只能限于猜测阶段，哪怕是拿到了iPhone5s，想要详细了解整个操作机制估计也要等到越狱放出来之后才能有所针对研究。 不过按照苹果一贯的加密储存方式，Touch ID的储存和其他加密内容的储存应该是同一类型的，也就是说这个玩意应该也是通过iOS设备内部配置的加密模块来进行加密储存的。那么按照现在越狱的需求，想要完成越狱工作，iOS设备加密模块是必须被关闭的，所以说我个人觉得对于越狱之后的机器，Touch ID的加密内容也是可以完整的读取的。 当然这个玩意被完整读取所要造成的危害性肯定比上面的KeyChain读取和加密储存读取要严重的多，因为Touch ID会储存用户Apple账号的账号名和密码，或者说Touch ID会储存一个对应Apple账号存在的加密Token，但无论是哪一种，获取了Touch ID的恶意软件都可以随意使用你的Apple ID进行下载、购买等等操作如果关联了信用卡，还有可能会出现盗刷的情况。 所以我个人建议，如果没有特殊需求，比如说非要用输入法、非要用安全软件或非要改主题等等，使用iPhone 5s的用户最好不要越狱。如果一定要越狱，最好也在越狱之前关闭所有Touch ID相关内容。 补充一下关于很多人说苹果官方说指纹在芯片里……你们去看看这个回答：iPhone 5s 采用的指纹识别 (Touch ID) 会有哪些安全隐患？ 真是怎么回事，还是得等到iPhone5s到手并且被我们拆掉之后才知道…… 以上 最后感谢常年请我喝咖啡的@狼大人邀请，顺便贴上几篇介绍iOS加密的文章[2][3] [1]ios - Keychain [2]iOS Security Details [3]Understanding iOS passcode security 【知乎用户的回答(17票)】: 不是专业的人士。 只是在苹果官网上iPhone5S介绍视频中注意了这句话（2分20秒），大家应该也都看到了： “所有的指纹信息都是加密的，并保存在全新A7芯片内置的Secure Enclave之中。在这里，信息被锁定于远离一切的位置，只有Touch ID传感器才能访问，而其他一切软件均无权接触。”视频地址：http://www.apple.com/cn/iphone-5s/videos/#video-product 【Edward Cold的回答(2票)】: 先回杨晶的猜测「以后会不会将touch id 认证应用到支付宝 移动支付等金融产品」 和金融机构合作基本不可能 除非金融机构用的是apple id付款 电子支付同上 看介绍 我以为原理是你知道apple id密码的前提下可选用指纹验证代替 指纹数据存储在本机 当支付时本地验证指纹 通过后系统自动发送密码或通过指令去apple服务器完成支付 至于楼主所说的安全问题我是这样看的 安全问题的关键在于上不上传指纹数据 touch id数据芯片有没有上传接口 有留就有上传风险 有些人提到了 手机被偷指纹信息会不会从本地被破解获取 呵呵 这问题 少年你知道你手机上遍布着你多少指纹么…还破解获取 这弯子饶的 我赞成一个观点不要在物品或人生安全都得不到保障的时候谈论资料信息的安全… 手机答，见谅 【郭冕的回答(1票)】: 你见过绝对安全的系统吗？基本上可以这样假设，民用级的安全也就这样，怎么做也不会比现在好多少。真要好了，就不适用民用了。 【知乎用户的回答(0票)】: 数字签证技术，解决指纹信息泄露 原文地址:知乎