Si un mecanismo de autenticación de huellas dactilares, como la identificación táctil de iOS, informa a una aplicación que ha tenido éxito, ¿cómo se puede volver a llamar de manera segura a un servidor web para que se pueda autorizar un ticket de seguridad? Seguramente, se debe enviar algo verificable junto con la solicitud, de lo contrario, cualquier persona podría llamar al servicio directamente.
El enclave seguro no hace ninguna llamada a los servidores web, ya que Touch ID es un reemplazo para el código de acceso local, y no está vinculado directamente con ningún servicio de terceros. Creo que para habilitar el uso de la identificación táctil en una aplicación como Paypal, debe haber iniciado sesión en Paypal con su identificación y contraseña. Luego, al habilitar la identificación táctil, básicamente se vincula este token con la identificación táctil. Así que va a tocar ID - > enclave seguro - > Sí, Paypal, una coincidencia positiva - > Paypal va y ahora usa el token o cookie almacenado (o cualquiera que sea el mecanismo) creado desde el inicio de sesión inicial usando la contraseña para hacer cosas de Paypal por sí mismo.
Lea otras preguntas en las etiquetas authentication os-fingerprinting