هل تطبيقات خزنة الصور آمنة؟ تدقيق أمني لعام 2026
معظم تطبيقات خزنة الصور على iOS تحمي الشاشة لا الملفات. في تدقيقنا لشهر يونيو 2026 على 12 من أكثر تطبيقات الخزنة تثبيتا، ذكر تطبيق واحد فقط خوارزمية تشفير محددة في قائمة App Store الخاصة به، وأعلن 7 من 12 أنهم يتتبعونك. التطبيقات التي تستحق الثقة هي الأقلية التي تسمي خوارزمية حقيقية، ولا تحتفظ بأي مفتاح لبياناتك، ولا تجمع أي شيء.
تطبيقات خزنة الصور ليست آمنة بشكل موحد. في تدقيقنا لشهر يونيو 2026 على 12 من أكثر تطبيقات خزنة iOS تثبيتا، أعلن 7 من 12 أنهم يتتبعون المستخدمين عبر التطبيقات والمواقع الإلكترونية، وذكر 1 فقط خوارزمية تشفير محددة في قائمته. ووجدت عقود من الأبحاث المستقلة مرارا تطبيقات تسوّق "التشفير" بينما تخزن الملفات بنص صريح أو خلف تشويش بسيط. الآمنة منها تسمي خوارزمية حقيقية، ولا تتطلب حسابا، ولا تمتلك مفتاحا لبياناتك.
ما الذي دققنا فيه وما الذي لم نختبره
استخرجنا ملصق خصوصية التطبيق وسياسة الخصوصية المنشورة ووصف App Store لأفضل تطبيقات خزنة الصور وإخفاء الصور في متجر App Store الأمريكي في يونيو 2026، مرتبة حسب موضع المتجر وحجم التقييمات. صنفنا كل تطبيق وفقا لنموذج الأمان الفعلي الخاص به وقطعنا مرجعا مع عقد من حوادث فشل تطبيقات الخزنة الموثقة، مع الاحتفاظ فقط بالحوادث القابلة للتتبع إلى مصدر أساسي أو مؤكد.
هناك قيدان مهمان. أولا، ملصقات خصوصية App Store ذاتية التقرير؛ Apple لا تدققها، لذلك قد يُعلن التطبيق أقل مما يجمع. ثانيا، هذا مراجعة للملصق والسياسة والبنية بالإضافة إلى سجل الحوادث العام. لم نُجرِ التقاطا مباشرا للشبكة، لذا لا ندعي بشأن حركة مرور لم نراقبها شخصيا. كل ما هنا قابل للتحقق من المصادر المدرجة في أسفل هذه الصفحة.
الاكتشاف الأول: "التشفير" عادة مجرد كلمة وليس حقيقة قابلة للتحقق
تعتمد هذه الفئة على عبارة "التشفير العسكري". لا معنى لها بحد ذاتها. AES-256 معيار عام لا درجة عسكرية له؛ العبارة مجرد تسويق يبقى لأنه يبدو كمواصفة تقنية. ما يهم فعلا هو ما إذا كان التطبيق يسمي خوارزمية وطول مفتاح وطريقة اشتقاق مفتاح يمكنك تقييمها.
عبر تدقيق ملصقات 12 تطبيقا، ذكر تطبيق واحد فقط خوارزمية تشفير محددة في وصف App Store الخاص به: Secret Photos KYMS الذي يقول "AES". كل تطبيق آخر إما قال "تشفير عسكري" أو "تخزين مشفر" أو "بنية معرفة صفرية" أو لم يذكر أي تشفير على الإطلاق. بالنظر بعمق في مواقع المطورين وسياسات ثمانية تطبيقات، ثلاثة فقط سمّوا خوارزمية حقيقية في أي مكان في مواد رسمية: LockMyPix يسمي AES-CTR، والخزنة السحابية الاختيارية لـ Private Photo Vault تسمي AES-256، وCalculator# يكشف عن AES-256 مع PBKDF2 بـ 200,000 تكرار. هذه التطبيقات الثلاثة تستحق الثناء على إظهار عملها.
هناك تمييز يُعتم عليه معظم قوائم الخزنة: إخفاء الصورة ليس تشفيرها. الإخفاء ينقل الملف إلى مكان أقل وضوحا. التشفير يحوله إلى نص مشفر عديم الفائدة دون مفتاح. شاشة PIN التي تحمي مجلدا من الملفات العادية ستارة لا جدار. أي شخص يصل إلى الملفات الموجودة تحتها عبر نسخة احتياطية أو أداة جنائية أو أمر adb يدخل مباشرة.
الاكتشاف الثاني: ملصقات الخصوصية تقول أكثر مما يقوله التسويق
ملصقات خصوصية التطبيقات من Apple هي أصدق صفحة في App Store، لأن الكذب عليها انتهاك للسياسة. إنها المكان الذي تتوقف فيه نسخة التسويق وممارسات البيانات الفعلية عن الاتفاق. وجد تدقيقنا لشهر يونيو 2026 أن 7 من 12 تطبيقا يُعلنون "البيانات المستخدمة لتتبعك"، وهو مصطلح Apple للبيانات المشتركة لتتبعك عبر تطبيقات وموقع شركات أخرى. 2 فقط من 12 يحملان ملصق Apple "لا توجد بيانات مجمعة"، وهو أقوى شهادة خصوصية في المتجر: Safe Lock وSecret Photo Vault Lock Photos.
أعلى تطبيقين تقييما في المجموعة، Private Photo Vault (Pic Safe) وSV Private Photo Vault PRO، كلاهما نشرته Legendary Software Labs ولهما مجتمعا نحو 1.026 مليون تقييم. كلاهما يتتبع المستخدمين، وبحسب ملصقيهما، يربطان صورك ومقاطع الفيديو ومعرفات الجهاز بهويتك. يحمل Best Secret Folder أوسع بصمة "مرتبطة بك" في المجموعة: الموقع، ومعلومات الاتصال الكاملة بما في ذلك الاسم والبريد الإلكتروني والهاتف، وصورك ومقاطع الفيديو والصوت، مع عرض إعلانات. تطبيق الصور الخاصة الذي يربط صورك بهويتك ويتتبعك عبر تطبيقات أخرى يحل مشكلة مختلفة عما نزّلته من أجله.
التطبيقات المتبقية في التدقيق لها قصتها الخاصة. لا يسمي Private Photo Vault (Pic Safe) وSV Private Photo Vault PRO أي خوارزمية في قوائمهما، مستخدمَين فقط عبارة "قيمة سرية للتشفير/فك التشفير". تصف Keepsafe تشفيرها بأنه "عسكري" دون تسمية خوارزمية. تقول Privault "تخزين مشفر". تدعي HiddenVault "بنية معرفة صفرية" لكنها لا تسمي أي خوارزمية. لا يسمي Calculator# أي خوارزمية في قائمة App Store الخاصة به. لا يذكر Best Secret Folder وHide It Pro شيئا على الإطلاق. KYMS وحده يسمي AES، وEncamera وحده مفتوح المصدر، مما يوفر نوعا مختلفا من إمكانية التحقق.
الاكتشاف الثالث: الحساب والخادم السحابي سطح هجوم ثانٍ
قد تكون معالجة الملفات المحلية عيبا ومع ذلك يسرب التطبيق، لأن الخادم سطح هجوم منفصل. التطبيقات التي تتطلب حسابا وتخزن ملفاتك على خوادمها تطلب منك الثقة بقاعدة بيانات لا يمكنك فحصها.
Keepsafe هو المثال الأوضح على هذا الاختيار الهيكلي. يتطلب عنوان بريد إلكتروني قبل أن تتمكن من استخدامه، ويخزن المحتوى على خوادمه الخاصة، وكشف تحليل أمني مستقل أن الشركة تحتفظ بالقدرة على الوصول إلى صور المستخدمين. سياسة خصوصيته هي أيضا الوحيدة في مجموعة تدقيقنا التي تعترف بأن بعض مشاركة البيانات قد تصنف بموجب قانون كاليفورنيا على أنها بيع أو مشاركة لمعلوماتك الشخصية. هذا إفصاح لم تُقدمه التطبيقات الأخرى، ويُخبرك من يمتلك المفتاح. عندما يمتلك البائع مفتاح التشفير، فإن اختراق البائع هو اختراقك. النموذج الذي يتجنب ذلك هو التشفير بالمعرفة الصفرية، حيث لا يستطيع المزود قراءة بياناتك لأنه لا يمتلك المفتاح قط.
وصل المثال العملي لما يمكن أن يحدث في 2025. تطبيق منفصل اسمه Photo Vault، نشره المطور Brain Craft، ترك قاعدة بيانات Firebase الخاصة به بدون حماية بكلمة مرور. أفاد Cybernews بهذا الكشف في 2025 وأكده The Dead Pixels Society. كشف عناوين البريد الإلكتروني للمستخدمين وكلمات المرور النصية الصريحة وأسماء الملفات والمجلدات ومحتويات ميزة الملاحظات الآمنة في التطبيق، لتطبيق بنحو 72,000 تنزيل. لنكن دقيقين: تطبيق Brain Craft هذا ليس نفس المنتج الذي هو Private Photo Vault أو Pic Safe من Legendary Software Labs، رغم التشابه في الاسم. لم تكن الصور نفسها في قاعدة البيانات، لكن كل ما هو ضروري لمهاجمة الحسابات كان موجودا، بما في ذلك كلمات المرور المخزنة كنص صريح، وهو ما لا يجب أن يمتلكه تطبيق الخزنة أبدا بشكل قابل للقراءة، ناهيك عن كشفه.
الاكتشاف الرابع: SDK الإعلاني داخل التطبيق "الخاص"
أشارت سبعة من ثماني سياسات خصوصية قرأناها إلى الإعلانات من جهات خارجية. اللافت هو NQ Vault، الموزع أيضا باسم Vault-Hide، الذي تسرد سياسته ستة حزم SDK إعلانية مدمجة في التطبيق: AdMob وFacebook Audience Network وInMobi وMoPub وAppLovin وUnity. مهمة شبكة الإعلانات هي بناء ملف تعريف للمستخدم. دمج ستة منها داخل تطبيق فرضيته الخصوصية هو أبلغ مفارقة في هذه الفئة، ومذكور في نص السياسة لا في تكهناتنا.
النمط الأوسع من مراجعة سياسات ثمانية تطبيقات: LockMyPix وحده من الثمانية يضع نفسه كنموذج خالٍ من الإعلانات. يذكر Private Photo Vault ملفات تعريف الارتباط الخارجية والإعلانات. تدرج Privault AdMob وتحليلات Umeng. يشير Best Secret Folder إلى الإعلانات المستهدفة وGoogle Analytics وFirebase. يشير Hide It Pro إلى SDK إعلاني خارجي. التطبيقات التي لا تحتفظ بسحابة ولا تتطلب حسابا وتسمي خوارزمية هي الاستثناء لا القاعدة.
عقد من الإخفاقات الموثقة
هذا ليس جديدا. نمط "التشفير" الذي ليس تشفيرا موثق مرارا منذ 2014، من قبل باحثين مُسمّين ودراسات محكمة. ما يلي سجل الحوادث مع مستويات الثقة، لأن بعضها أفضل توثيقا من غيره.
في سبتمبر 2014، أظهر باحث الجنائيات Jonathan Zdziarski أن Private Photo Vault، الذي كان يُفيد بأكثر من 3 ملايين مستخدم آنذاك، لم يطبق أي تشفير يتجاوز تخزين iOS الافتراضي. كانت الصور قابلة للاسترداد كنص صريح في نحو خمس دقائق. هذه الحادثة تم التحقق منها من مصدر أساسي على zdziarski.com.
في أبريل 2015، أفاد The Register وSlate بأن NQ Mobile Vault، الذي سوّق "التشفير" وحظي بأكثر من 10 ملايين تنزيل، طبّق عملية XOR بايت واحد على أول 128 بايت فقط من كل ملف. هذا يُبقي 256 مفتاحا محتملا وبقية كل ملف كنص صريح. هذه الحادثة تم التحقق منها.
في نوفمبر 2015، اختبر باحث IOActive Michael Allen تطبيقات Private Photo Vault و"My Media" وKeepsafe واخترق الثلاثة في أقل من 30 دقيقة لكل منها. شملت الطرق رموز PIN النصية المخزنة في ملفات قائمة الخصائص، وخادم ويب غير مُوثَّق يعمل على المنفذ 5555، وكلمات مرور الألبوم المعادة كنص صريح من الخادم. هذه الحادثة تم التحقق منها.
في 2017، نشر Zhang وBaggili وBreitinger دراسة محكمة في Computers and Security (المجلد 70) تحلل 18 تطبيق خزنة Android بنحو 220 مليون تنزيل مجمّع. ستة منها لم تُشفر الصور المخزنة، و7 خزنت كلمات المرور كنص صريح، و10 كشفت البيانات المخفية دون صلاحيات الجذر. ساعد البحث في استرداد أدلة في قضية جنائية: 66 صورة و18 مقطع فيديو. هذه الدراسة تم التحقق منها.
في يونيو 2019، وجد باحث يكتب باسم forensicmike1 أن Private Photo Vault أضاف تشفير AES عبر RNCryptor، لكن المفتاح الرئيسي كان مخزنا بشكل ثابت في iOS Keychain ولم يتم تدويره أبدا عند تغيير المستخدم لرمز PIN الخاص به. رمز PIN المكون من 4 أرقام جعل المفتاح قابلا للاختراق بسهولة بالقوة الغاشمة. هذه الحادثة تم التحقق منها.
في 2022، نشر Ruffin وزملاؤه دراسة محكمة في ACM WPES تحلل 20 تطبيق خزنة Android شائعا يتجاوز كل منها 10 ملايين تنزيل. 5 فقط من 20 حاولت تشفير الملفات. كانت 15 منها قابلة للاسترداد الكامل بأمر adb pull بسيط، وخزنت 7 منها رموز PIN أو بريد الاسترداد كنص صريح. هذه الدراسة تم التحقق منها.
في فبراير 2025، أفاد Kaspersky بحملة SparkCat: برامج ضارة وجدت في تطبيقات على App Store وGoogle Play تستخدم التعرف الضوئي على الحروف على الجهاز لمسح مكتبات صور المستخدمين بحثا عن عبارات البذرة للعملة المشفرة ولقطات شاشة كلمات المرور، ثم تُسرّب التطابقات. أزالت Apple وGoogle التطبيقات. كان أول سارق صور قائم على التعرف الضوئي على الحروف معروف باجتيازه مراجعة App Store. هذه الحادثة تم التحقق منها.
حادثتان إضافيتان تحملان تحققا جزئيا وينبغي قراءتهما مع هذا التحفظ. وجد تحليل عام 2021 عائلة من تطبيقات خزنة على شكل آلة حاسبة على Android تشترك في مفتاح AES-CBC مُضمَّن ثابت عبر كل عملية تثبيت، مما يعني أن مفتاحا واحدا معروفا يفك تشفير وسائط كل مستخدم. هذا تم التحقق منه جزئيا، من باحث تقني واحد. وبشكل منفصل، تم الإبلاغ عن تطبيق Vault-Hide من قبل وزارة الإلكترونيات وتكنولوجيا المعلومات الهندية في 2017 بسبب تسريب أرقام الهواتف وأرقام IMEI وقوائم التطبيقات المثبتة، ويُفيد بأنه تفادى الإزالة بإعادة تسمية نفسه. هذا تم التحقق منه جزئيا عبر مصادر ثانوية من Cybernews وCPO Magazine.
نقطة بيانات واحدة جديرة بالملاحظة لغيابها: لم نجد أي CVE مُعيَّن لأي تطبيق خزنة صور استهلاكي. أقرب إفصاح رسمي هو تنبيه عام 2018 على منتج "Photo Vault" غير ذي صلة يضم خادم WiFi غير مُوثَّق، مُصنَّف كخطورة متوسطة (CVSS 4.8)، دون إصدار CVE (seclists.org Full Disclosure، يناير 2018). هذه الفئة لا يتم تتبعها رسميا، مما يعني أن معظم هذه الإخفاقات اكتشفها باحثون مستقلون خارج أي عملية إفصاح منسقة.
كيف تقيّم تطبيق خزنة فعلا
لا تحتاج إلى إجراء هندسة عكسية لأي شيء. خمسة أسئلة تُصفّي معظم المخاطر. أولا: هل يسمي خوارزمية تشفير؟ "AES-256" أو "AES-GCM" ادعاء يمكنك التحقق منه. "التشفير العسكري" ليس كذلك. ثانيا: هل يتطلب حسابا؟ البريد الإلكتروني وكلمة المرور يُنشئان مخزن بيانات اعتماد يمكن أن يتسرب، كما أظهر حادث Brain Craft Firebase. ثالثا: إذا كان يقوم بنسخ احتياطي إلى السحابة، من يمتلك المفتاح؟ إذا كان البائع يمكنه إعادة تعيين كلمة مرورك واسترداد صورك، فالبائع يمكنه قراءة صورك، وكذلك كل من يخترق البائع.
رابعا: ماذا يقول ملصق خصوصية التطبيق والسياسة؟ افتح قسم خصوصية التطبيق. إذا كان يتتبعك أو يربط صورك بهويتك، صدّقه. اقرأ السياسة بحثا عن إفصاحات SDK الإعلانية. خامسا: هل هو قابل للتدقيق؟ "لا توجد بيانات مجمعة" والخوارزميات المسماة مع تفاصيل اشتقاق المفتاح والكود مفتوح المصدر كلها إشارات على أن التطبيق يتوقع أن يُفحص. التطبيقات التي لا يمكن فحصها تعتمد على عدم فحصك لها.
أين يقع Vaultaire في هذه الصورة
بنينا Vaultaire حول فئات الإخفاق المحددة الموثقة أعلاه، لذا من العدل قياسنا بها لا بالتسويق. يشتق Vaultaire مفتاح تشفير AES-256-GCM الخاص بك من نمط 5×5 ترسمه؛ يولّد النمط المفتاح ولا يُخزَّن أبدا، لذا لا يوجد ملف كلمة مرور يمكن تسريبه ولا شيء على خادم يمكن اختراقه بالقوة الغاشمة. لا يوجد حساب، مما يعني لا عنوان بريد إلكتروني ولا مخزن بيانات اعتماد. هذا بالضبط ما تسرب في حادثة Brain Craft.
Vaultaire بنظام المعرفة الصفرية: ملفاتك ومفاتيحك لا تغادر الجهاز أبدا بشكل قابل للقراءة. النسخ الاحتياطي الاختياري عبر iCloud مشفر قبل مغادرة هاتفك، لذا لا نستطيع قراءته ولا يستطيع أي شخص يخترق خادما. لا نمتلك أي مفتاح لبياناتك، مما يعني أن اختراقنا ليس اختراقا لك. هذا لا يعني أن Vaultaire هو الخيار الآمن الوحيد. إنه ادعاء بشأن البنية: النموذج الذي يتجنب الإخفاقات الموثقة هو النموذج الذي لا يمتلك فيه المزود مفتاحك أبدا ولا يجمع بياناتك. بعض التطبيقات الأخرى تُصيب أجزاء من هذا الصواب، وقد سميناها عبر هذا التدقيق. نقطة التدقيق هي أنك الآن تستطيع التحقق من أي ادعاء بنفسك.
قراءات ذات صلة:
- هل تطبيقات خزنة الصور آمنة؟ النسخة المختصرة
- ما الذي يعنيه تشفير AES-256 فعلا
- تشفير المعرفة الصفرية، موضحا
- ما الذي تقوله سياسات خصوصية التخزين السحابي للصور حقا
- كيف يجعل التشفير القائم على النمط نمطك هو المفتاح
المصادر
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
الأسئلة الشائعة
هل تطبيقات خزنة الصور آمنة فعلا؟
يعتمد الأمر كليا على التطبيق، ومعظمها أضعف مما يبدو. في تدقيقنا لشهر يونيو 2026، أعلن 7 من 12 من أكثر تطبيقات خزنة iOS تثبيتا أنهم يتتبعونك، وذكر 1 فقط خوارزمية تشفير محددة في قائمته. وجد عقد من الأبحاث مرارا تطبيقات تسوّق "التشفير" بينما تخزن الملفات كنص صريح أو خلف تشويش بسيط. الآمنة منها تسمي خوارزمية حقيقية، ولا تتطلب حسابا، ولا تمتلك مفتاحا لبياناتك.
هل يمكن لمطور تطبيق الخزنة رؤية صوري؟
إذا كان التطبيق يخزن صورك في سحابته الخاصة ويستطيع استرداد حسابك عند نسيان كلمة مرورك، فنعم: يمتلك المطور مفتاح التشفير ويمكنه تقنيا الوصول إلى صورك، وكذلك كل من يخترق خوادم المطور. وجد تحليل مستقل أن هذا هو الحال مع Keepsafe. التطبيقات بنظام المعرفة الصفرية أو المحلية الحصرية لا تستطيع رؤية صورك لأنها لا تمتلك المفتاح أبدا.
هل Private Photo Vault (Pic Safe) مشفر فعلا؟
تسمي الخزنة السحابية الاختيارية لـ Private Photo Vault خوارزمية AES-256، وهي خوارزمية حقيقية. لكن التطبيق لديه تاريخ موثق من الثغرات: لم يُعثر على تشفير في 2014 (Zdziarski)، واختُرق في أقل من 30 دقيقة في 2015 (IOActive)، ووُجد مفتاح رئيسي ثابت وغير متناوب في 2019 (forensicmike1). يُعلن ملصق خصوصية App Store الحالي أيضا أنه يتتبعك ويربط صورك بهويتك.
هل تطبيقات خزنة الصور تستخدم التشفير فعلا أم مجرد PIN؟
كثير منها يستخدم رمز PIN فقط فوق مجلد مخفي، وهذا ليس تشفيرا. الإخفاء ينقل الملف إلى موقع أقل وضوحا؛ الملف لا يزال قابلا للقراءة من أي شخص يصل إليه عبر نسخة احتياطية أو أداة جنائية. وجدت دراسة محكمة عام 2022 على 20 تطبيق خزنة Android (Ruffin et al., ACM WPES) أن 5 فقط حاولت تشفير الملفات الحقيقي، و15 كانت قابلة للاسترداد الكامل بأمر adb pull بسيط. التشفير الحقيقي يحول الملف إلى نص مشفر يتطلب مفتاحا.
ماذا يحدث لصوري إذا حذفت تطبيق الخزنة؟
إذا كان التطبيق يخفي الملفات فقط (دون تشفير)، قد تبقى الملفات على الجهاز في موقع قابل للوصول أو في النسخ الاحتياطية. إذا كان التطبيق شفّر الملفات محليا وحذفته دون تصدير، قد يصبح النص المشفر غير قابل للاسترداد لأن المفتاح ضاع. إذا كان التطبيق يستخدم التخزين السحابي، قد تبقى الملفات على خوادم البائع. اطلع على وثائق التصدير والحذف في التطبيق قبل إلغاء التثبيت.
هل يمكن لأدوات الجنائيات أو الشرطة تجاوز PIN الخزنة؟
الحماية بالـ PIN فقط تقدم مقاومة ضئيلة لأدوات الاستخراج الجنائي. أظهرت أبحاث من 2014 و2015 و2017 و2022 تجاوز رموز PIN في تطبيقات الخزنة في دقائق أو استرداد الملفات دون أي مصادقة على الإطلاق. لوحظ أن رمز PIN المكون من 4 أرقام في تطبيق Private Photo Vault عام 2019 كان قابلا للاختراق بسهولة بالقوة الغاشمة. التشفير الحقيقي للملفات مع دالة اشتقاق مفتاح قوية يرفع المستوى بشكل ملحوظ؛ بوابة PIN وحدها لا.
هل يبيع Keepsafe بياناتي؟
سياسة خصوصية Keepsafe هي الوحيدة في مجموعة تدقيقنا التي تنص صراحة على أن بعض مشاركة البيانات قد تُصنَّف بموجب قانون كاليفورنيا على أنها "بيع" أو "مشاركة" لمعلومات شخصية. تشير السياسة أيضا إلى شركاء إعلانيين. هذا إفصاح لم تُقدمه التطبيقات الأخرى في مجموعتنا. ما إذا كان ذلك يُشكل بيعا يعتمد على التعريف القانوني المُطبَّق، لكن السياسة هي الأصرح في هذه الفئة على هذه النقطة.
ما الفرق بين إخفاء الصور وتشفيرها؟
الإخفاء ينقل الملف إلى مكان أقل وضوحا على الجهاز؛ الملف الأساسي لم يتغير وقابل للقراءة من أي شخص يمتلك الوصول إلى التخزين، بما في ذلك أدوات النسخ الاحتياطي أو البرامج الجنائية. التشفير يحول الملف إلى نص مشفر لا يمكن قراءته دون المفتاح الصحيح. كثير من تطبيقات الخزنة تخفي فقط. وجدت دراسة أكاديمية عام 2022 (Ruffin et al.) أن 15 من 20 تطبيق خزنة Android شائعا كانت قابلة للاسترداد بأمر adb pull أساسي، دون الحاجة إلى أي فك تشفير.
هل من الآمن تفعيل النسخ الاحتياطي السحابي في تطبيق الخزنة؟
فقط إذا كان النسخ الاحتياطي مشفرا قبل مغادرة جهازك ولا يمكن للمزود فك تشفيره. إذا كان البائع يستطيع استرداد ملفاتك عند فقدان كلمة مرورك، فالنسخ الاحتياطي قابل للقراءة من البائع ومكشوف في أي اختراق للخادم. كشف حادث Brain Craft Firebase عام 2025 عن رسائل البريد الإلكتروني وكلمات المرور النصية الصريحة وأسماء المجلدات بالضبط لأن الجانب السحابي لم يكن له أي حماية. ابحث عن بنية المعرفة الصفرية مع التشفير قبل الرفع.
أي تطبيق خزنة صور لا يتطلب حسابا أو اتصالا بالإنترنت؟
تعمل عدة تطبيقات بشكل كامل دون اتصال ودون حساب. في تدقيقنا، اثنان يحملان ملصق Apple "لا توجد بيانات مجمعة": Safe Lock وSecret Photo Vault Lock Photos. Vaultaire لا يتطلب حسابا ولا عنوان بريد إلكتروني ولا اتصالا بالشبكة لتشفير الملفات وتخزينها. عدم الحاجة إلى حساب يُلغي سطح هجوم مخزن بيانات الاعتماد بالكامل، وهو بالضبط فئة الكشف الذي أثبت حادث Brain Craft Firebase عام 2025.