Na igen ezen már én is gondolkoztam: A legtöbb (összes?) banki app ujjlenyomatalapján azonosít. Ez nem determinisztikus, tehát nem használható titkosításra, csak egy API hívás után visszakapja az app, hogy megfelelően hasonló-e az eltárolt mintákkal vagy sem.
Szóval ha van egy biztonsági hiba egy appban, amivel root jogosultságot lehet szerezni, akkor az összes adathoz/szolgáltatáshoz elvileg egyből hozzá lehet férni ami ujjlenyomatos azonosítást használ.