Les aplicacions de boveda de fotos son segures? Una auditoria de seguretat del 2026
La majoria d'aplicacions de boveda de fotos per a iOS protegeixen la pantalla, no els fitxers. A la nostra auditoria del juny del 2026 de 12 de les aplicacions de boveda mes instal-lades, nomes una esmentava un algorisme de xifratge especific a la seva descripcio de l'App Store, i 7 de 12 declaraven que et rastregen. Les aplicacions que val la pena confiar son la minoria que esmenten un algorisme real, no tenen cap clau de les teves dades i no recopilen res.
Les aplicacions de boveda de fotos no son uniformement segures. A la nostra auditoria del juny del 2026 de 12 de les aplicacions de boveda per a iOS mes instal-lades, 7 de 12 declaraven que rastregen els usuaris entre aplicacions i llocs web, nomes 1 esmentava un algorisme especific a la seva descripcio, i una decada d'investigacio independent ha trobat repetidament aplicacions que comercialitzen "xifratge" mentre emmagatzemen fitxers en text pla o darrere d'una ofuscacio trivial. Les segures esmenten un algorisme real, no requereixen compte i no tenen cap clau de les teves dades.
Que hem auditat i que no hem provat
Vam obtenir l'etiqueta de privadesa de l'app, la politica de privadesa publicada i la descripcio de l'App Store de les principals aplicacions de boveda de fotos i d'amagar fotos a l'App Store dels EUA el juny del 2026, classificades per posicio a la botiga i volum de valoracions. Vam classificar cada aplicacio pel seu model de seguretat real i vam fer una referencia creuada d'una decada de fallades documentades d'aplicacions de boveda, conservant nomes els incidents amb una font primaria o corroborada.
Hi ha dues limitacions importants. Primer, les etiquetes de privadesa de l'App Store son autodeclarades; Apple no les audita, de manera que una aplicacio podria declarar menys del que recopila. Segon, aquesta es una revisio d'etiquetes, politiques i arquitectura mes un registre d'incidents publics. No vam fer capturs de xarxa en directe, de manera que no fem cap afirmacio sobre el transit que no hem observat personalment. Tot el que hi ha aqui es verificable a partir de les fonts llistades al final d'aquesta pagina.
Troballa 1: El "xifratge" sol ser una paraula, no un fet verificable
La categoria funciona amb la frase "xifratge de grau militar". Aixo no vol dir res per si sol. AES-256 es un estandard public sense grau militar; la frase es marketing que sobreviu perque sona com una especificacio. El que realment importa es si una aplicacio esmenta un algorisme, una longitud de clau i un metode de derivacio de clau que puguis avaluar.
A l'auditoria d'etiquetes de les 12 aplicacions, exactament una esmentava un algorisme concret a la seva descripcio de l'App Store: Secret Photos KYMS, que diu "AES". Totes les altres deien "xifratge de grau militar", "emmagatzematge xifrat", "arquitectura de coneixement zero" o no esmentaven cap xifratge. Aprofundint en els llocs web i politiques de vuit desenvolupadors d'aplicacions, nomes tres esmentaven un algorisme real en algun lloc dels seus materials oficials: LockMyPix esmenta AES-CTR, la boveda al nuvol opcional de Private Photo Vault esmenta AES-256, i Calculator# divulga AES-256 amb PBKDF2 a 200.000 iteracions. Aquests tres mereixen credit per mostrar el seu treball.
Hi ha una distincio que la majoria de descripcions de bovedes difuminen: amagar una foto no es xifrar-la. Amagar mou un fitxer a un lloc menys visible. Xifrar el transforma en text xifrat que es inutil sense una clau. Una pantalla amb PIN que dona acces a una carpeta de fitxers ordinaris es una cortina, no una paret. Qualsevol persona que arribi als fitxers de sota mitjancant una copia de seguretat, una eina forense o una ordre adb pot entrar directament.
Troballa 2: Les etiquetes de privadesa diuen mes que el marketing
Les etiquetes de privadesa de l'app d'Apple son la pagina mes honesta de l'App Store, perque mentir-hi es una violacio de les politiques. Es on el text de marketing i les practiques de dades reals deixen d'estar d'acord. La nostra auditoria del juny del 2026 va trobar que 7 de les 12 aplicacions declaren "Dades utilitzades per rastrejar-te", que es el terme d'Apple per a les dades compartides per rastrejar-te entre les aplicacions i els llocs web d'altres empreses. Nomes 2 de 12 tenen l'etiqueta "Dades no recopilades" d'Apple, la certificacio de privadesa mes solida de la botiga: Safe Lock i Secret Photo Vault Lock Photos.
Les dues aplicacions amb mes valoracions del conjunt, Private Photo Vault (Pic Safe) i SV Private Photo Vault PRO, estan publicades per Legendary Software Labs i juntes tenen aproximadament 1.026 milions de valoracions combinades. Totes dues rastregen els usuaris i, segons les seves propies etiquetes, vinculen les teves fotos, videos i identificadors de dispositiu a la teva identitat. Best Secret Folder te la petjada de "vinculat a tu" mes amplia del conjunt: ubicacio, informacio de contacte completa incloent nom, correu electronic i telefon, i les teves fotos, video i audio, mentre mostra anuncis. Una aplicacio de fotos privades que vincula les teves fotos a la teva identitat i et rastreja entre altres aplicacions esta resolent un problema diferent del que et vas descarregar.
Les aplicacions restants de l'auditoria expliquen la seva propia historia. Private Photo Vault (Pic Safe) i SV Private Photo Vault PRO no esmenten cap algorisme a les seves descripcions, utilitzant nomes la frase "valor secret per xifrar/desxifrar". Keepsafe descriu el seu xifratge com a "de grau militar" sense esmentar cap algorisme. Privault diu "emmagatzematge xifrat". HiddenVault afirma "arquitectura de coneixement zero" pero no esmenta cap algorisme. Calculator# no esmenta cap algorisme a la seva descripcio de l'App Store. Best Secret Folder i Hide It Pro no esmenten res. Nomes KYMS esmenta AES, i nomes Encamera es de codi obert, la qual cosa ofereix un tipus diferent de verificabilitat.
Troballa 3: Un compte i un backend al nuvol son una segona superficie d'atac
El maneig local de fitxers pot ser impecable i l'aplicacio pot filtrar igualment, perque el backend es una superficie d'atac separada. Les aplicacions que requereixen un compte i emmagatzemen els teus fitxers als seus servidors et demanen que confies en una base de dades que no pots inspeccionar.
Keepsafe es l'exemple mes clar d'aquesta eleccio estructural. Requereix una adreca electronica abans de poder-la utilitzar, emmagatzema contingut als seus propis servidors, i una analisi de seguretat independent va trobar que l'empresa conserva la capacitat d'accedir a les fotos dels usuaris. La seva politica de privadesa tambe es l'unica del nostre conjunt que admet que alguns compartiments de dades poden classificar-se en virtut de la llei de California com a venda o compartiment d'informacio personal. Aquesta es una divulgacio que les altres no van fer, i et diu qui te la clau. Quan un proveidor te la clau de xifratge, una vulneracio del proveidor es la teva vulneracio. El model que evita aixo es el xifratge de coneixement zero, on el proveidor no pot llegir les teves dades perque mai no te la clau.
L'exemple treballat del que surt malament va arribar el 2025. Una aplicacio separada anomenada Photo Vault, publicada pel desenvolupador Brain Craft, va deixar la seva base de dades Firebase sense proteccio de contrasenya. L'exposicio va ser reportada per Cybernews el 2025 i corroborada per The Dead Pixels Society. Va exposar adreces de correu electronic d'usuaris, contrasenyes en text pla, noms de fitxers i carpetes, i el contingut de la funcio de notes segures de l'aplicacio, per a una aplicacio amb uns 72.000 descaerregues. Per ser precisos: aquesta aplicacio de Brain Craft no es el mateix producte que Private Photo Vault o Pic Safe de Legendary Software Labs, malgrat el nom similar. Les fotos en si no estaven a la base de dades, pero tot el necessari per atacar els comptes hi era, incloent contrasenyes emmagatzemades en text pla, que una aplicacio de boveda no hauria de tenir mai en forma llegible, i molt menys exposar.
Troballa 4: El SDK publicitari dins de l'aplicacio "privada"
Set de les vuit politiques de privadesa que vam llegir feien referencia a publicitat de tercers. El cas mes destacat es NQ Vault, tambe distribuit com a Vault-Hide, la politica del qual llista sis SDK publicitaris incrustats a l'aplicacio: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin i Unity. La feina d'una xarxa publicitaria es crear un perfil de l'usuari. Incrustar-ne sis dins d'una aplicacio tota la premissa de la qual es la privadesa es la ironia definitoria de la categoria, i consta al text de la politica, no es especulacio nostra.
El patro general de la revisio de politiques de vuit aplicacions: nomes una de les vuit, LockMyPix, es posiciona com a lliure d'anuncis en el seu model principal. Private Photo Vault esmenta cookies de tercers i publicitat. Privault llista AdMob i analytics d'Umeng. Best Secret Folder fa referencia a anuncis personalitzats, Google Analytics i Firebase. Hide It Pro fa referencia a un SDK publicitari de tercers. Les aplicacions que no mantenen cap nuvol, no requereixen cap compte i esmenten un algorisme son l'excepcio, no la norma.
Una decada de fallades documentades
Res d'aixo es nou. El patro de "xifratge" que no es xifratge ha estat documentat repetidament des del 2014, per investigadors identificats i estudis revisats per experts. A continuacio hi ha el registre d'incidents amb nivells de confianca, perque alguns estan millor documentats que d'altres.
El setembre del 2014, l'investigador forense Jonathan Zdziarski va demostrar que Private Photo Vault, que aleshores declarava mes de 3 milions d'usuaris, no aplicava cap xifratge mes enlla de l'emmagatzematge iOS predeterminat. Les fotos eren recuperables en text pla en uns cinc minuts. Aquest incident esta verificat amb una font primaria a zdziarski.com.
L'abril del 2015, The Register i Slate van informar que NQ Mobile Vault, que comercialitzava "xifratge" i tenia mes de 10 milions de descaerregues, aplicava una operacio XOR d'un sol byte nomes als primers 128 bytes de cada fitxer. Aixo deixa 256 claus possibles i la resta de cada fitxer en text pla. Aquest incident esta verificat.
El novembre del 2015, l'investigador d'IOActive Michael Allen va provar Private Photo Vault, una aplicacio anomenada "My Media" i Keepsafe, i va entrar a les tres en menys de 30 minuts cadascuna. Els metodes van incloure PIN en text pla emmagatzemats en fitxers de llista de propietats, un servidor web no autenticat al port 5555, i contrasenyes d'album retornades en text pla des del servidor. Aquest incident esta verificat.
El 2017, Zhang, Baggili i Breitinger van publicar un estudi revisat per experts a Computers and Security (volum 70) que analitzava 18 aplicacions de boveda per a Android amb uns 220 milions de descaerregues combinades. Sis no xifraaven les fotos emmagatzemades, 7 emmagatzemaven contrasenyes en text pla, i 10 exposaven dades ocultes sense acces root. La recerca va ajudar a recuperar evidencies en un cas penal: 66 imatges i 18 videos. Aquest estudi esta verificat.
El juny del 2019, un investigador que publicava com a forensicmike1 va trobar que Private Photo Vault havia afegit xifratge AES via RNCryptor, pero la clau mestra estava emmagatzemada estaticament al Keychain d'iOS i mai no es renovava quan l'usuari canviava el PIN. Un PIN de 4 digits feia la clau trivialment atacable per forca bruta. Aquest incident esta verificat.
El 2022, Ruffin i col-legues van publicar un estudi revisat per experts a ACM WPES que analitzava 20 aplicacions de boveda populars per a Android amb mes de 10 milions de descaerregues cadascuna. Nomes 5 de 20 intentaven xifrar fitxers. 15 eren completament recuperables amb un simple adb pull, i 7 emmagatzemaven PIN o correus de recuperacio en text pla. Aquest estudi esta verificat.
El febrer del 2025, Kaspersky va informar de la campanya SparkCat: programari malicits trobat en aplicacions tant a l'App Store com a Google Play que utilitzava reconeixement optic de caracters al dispositiu per escanejar les biblioteques de fotos dels usuaris en cerca de frases llavor de criptomonedes i captures de pantalla de contrasenyes, i despres exfiltrava les coincidencies. Apple i Google van eliminar les aplicacions. Va ser el primer lladre de fotos basat en OCR que se sap que va superar la revisio de l'App Store. Aquest incident esta verificat.
Dos incidents addicionals tenen verificacio parcial i s'han de llegir amb aquesta advertencia. Una analisi del 2021 va trobar una familia d'aplicacions de boveda estil calculadora per a Android que compartien una sola clau AES-CBC codificada directament entre totes les instal-lacions, el que significava que una clau coneguda desxifrava els medis de tots els usuaris. Aixo esta parcialment verificat, a partir d'un sol investigador tecnicament especific. Per altra banda, l'aplicacio Vault-Hide va ser marcada pel Ministeri d'Electroniques i Tecnologia de la Informacio d'India el 2017 per exfiltrar numeros de telefon, numeros IMEI i llistes d'aplicacions instal-lades, i es diu que va eludir l'eliminacio reanomenant-se. Aixo esta parcialment verificat a traves de fonts secundaries de Cybernews i CPO Magazine.
Un punt de dades es notable per la seva absencia: no hem trobat cap CVE assignat a cap aplicacio de boveda de fotos de consum. La divulgacio formal mes propera es un avís del 2018 sobre un producte "Photo Vault" no relacionat amb un servidor WiFi no autenticat, classificat com a severitat mitjana (CVSS 4.8), sense CVE emès (Full Disclosure de seclists.org, gener del 2018). La categoria no esta formalment rastreada, el que significa que la majoria d'aquestes fallades van ser descobertes per investigadors independents fora de qualsevol proces de divulgacio coordinada.
Com avaluar realment una aplicacio de boveda
No cal fer enginyeria inversa de res. Cinc preguntes filtren la majoria del risc. Primera: esmenta un algorisme? "AES-256" o "AES-GCM" es una afirmacio que pots comprovar. "De grau militar" no. Segona: requereix un compte? Un correu electronic i una contrasenya creen un magatzem de credencials que pot filtrar-se, com va demostrar l'incident de Firebase de Brain Craft. Tercera: si fa copies de seguretat al nuvol, qui te la clau? Si el proveidor pot restablir la teva contrasenya i recuperar les teves fotos, el proveidor pot llegir les teves fotos, i tambe qualsevol persona que vulneri el proveidor.
Quarta: que diuen l'etiqueta de privadesa de l'app i la politica? Obre la seccio de privadesa de l'app. Si et rastreja o vincula les teves fotos a la teva identitat, creu-ho. Llegeix la politica per veure les divulgacions sobre SDK publicitaris. Cinquena: es auditable? "Dades no recopilades", algorismes concrets amb detalls de derivacio de claus, i codi obert son senyals que una aplicacio espera ser examinada. Les aplicacions que no es poden comprovar confien en que tu no les comproves.
On s'encaixa Vaultaire en aquest panorama
Vam construir Vaultaire al voltant de les classes de fallades especifiques documentades anteriorment, de manera que es just mesurar-nos contra elles en lloc de contra el marketing. Vaultaire deriva la teva clau de xifratge AES-256-GCM a partir d'un patro de 5 per 5 que dibuixes; el patro genera la clau i mai no s'emmagatzema, de manera que no hi ha cap fitxer de contrasenya que pugui filtrar-se ni res en un servidor que pugui atacar-se per forca bruta. No hi ha cap compte, el que significa cap adreca electronica i cap magatzem de credencials. Aixo es exactament el que va filtrar-se en l'incident de Firebase de Brain Craft.
Vaultaire es de coneixement zero: els teus fitxers i claus mai no surten del dispositiu de forma llegible. La copia de seguretat opcional a iCloud es xifra abans de sortir del teu telefon, de manera que nosaltres no podem llegir-la ni tampoc qualsevol persona que vulneri un servidor. No tenim cap clau de les teves dades, el que significa que una vulneracio nostra no es una vulneracio teva. Aixo no es una afirmacio que Vaultaire sigui l'unica opcio segura. Es una afirmacio sobre arquitectura: el model que evita les fallades documentades es aquell on el proveidor mai no te la teva clau i mai no recopila les teves dades. Algunes altres aplicacions fan parts d'aixo correctament, i les hem esmentat al llarg d'aquesta auditoria. El punt de l'auditoria es que ara pots comprovar qualsevol afirmacio tu mateix.
Lectura relacionada:
- Son segures les aplicacions de boveda de fotos? La versio curta
- Que significa realment el xifratge AES-256
- El xifratge de coneixement zero, explicat
- Que diuen realment les politiques de privadesa de l'emmagatzematge de fotos al nuvol
- Com el xifratge basat en patrons converteix el teu patro en la clau
Fonts
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Preguntes freqüents
Les aplicacions de boveda de fotos son realment segures?
Depen completament de l'aplicacio, i la majoria son mes debils del que semblen. A la nostra auditoria del juny del 2026, 7 de 12 de les aplicacions de boveda per a iOS mes instal-lades declaraven que et rastregen, i nomes 1 esmentava un algorisme concret a la seva descripcio. Una decada d'investigacio ha trobat repetidament aplicacions que comercialitzen "xifratge" mentre emmagatzemen fitxers en text pla o darrere d'una ofuscacio trivial. Les segures esmenten un algorisme real, no requereixen compte i no tenen cap clau de les teves dades.
Pot el desenvolupador d'una aplicacio de boveda de fotos veure les meves fotos?
Si l'aplicacio emmagatzema les teves fotos al seu propi nuvol i pot recuperar el teu compte quan oblides la contrasenya, aleshores si: el desenvolupador te la clau de xifratge i tecnicamente pot accedir a les teves fotos, com tambe pot qualsevol persona que vulneri els servidors del desenvolupador. Una analisi independent va trobar que aquest era el cas de Keepsafe. Les aplicacions que son de coneixement zero o nomes locals no poden veure les teves fotos perque mai no tenen la clau.
Private Photo Vault (Pic Safe) esta realment xifrat?
La boveda al nuvol opcional de Private Photo Vault esmenta AES-256, que es un algorisme real. Pero l'aplicacio te un historial documentat de debilitats: no es va trobar xifratge el 2014 (Zdziarski), es va vulnerar en menys de 30 minuts el 2015 (IOActive), i es va trobar una clau mestra estatica que no es renovava el 2019 (forensicmike1). L'etiqueta de privadesa actual de la seva App Store tambe declara que et rastreja i vincula les teves fotos a la teva identitat.
Les aplicacions de boveda de fotos realment utilitzen xifratge, o nomes un PIN?
Moltes utilitzen nomes un PIN sobre una carpeta oculta, que no es xifratge. Amagar mou un fitxer a una ubicacio menys visible; el fitxer continua sent llegible per qualsevol persona que hi arribi mitancant una copia de seguretat o una eina forense. Un estudi revisat per experts del 2022 de 20 aplicacions de boveda per a Android (Ruffin et al., ACM WPES) va trobar que nomes 5 intentaven xifrar fitxers realment, i 15 eren completament recuperables amb un simple adb pull. El xifratge real transforma el fitxer en text xifrat que requereix una clau.
Que passa amb les meves fotos si elimino una aplicacio de boveda?
Si l'aplicacio nomes va amagar els fitxers (sense xifratge), els fitxers poden romandre al dispositiu en una ubicacio accessible o a les copies de seguretat. Si l'aplicacio va xifrar els fitxers localment i elimines l'aplicacio sense exportar, el text xifrat pot tornar-se irrecuperable perque la clau ha desaparegut. Si l'aplicacio va utilitzar emmagatzematge al nuvol, els fitxers poden persistir als servidors del proveidor. Comprova la documentacio d'exportacio i eliminacio de l'aplicacio abans de desinstal-lar-la.
Les eines forensiques o la policia poden saltar-se el PIN d'una aplicacio de boveda de fotos?
La proteccio nomes per PIN ofereix poca resistencia a les eines d'extraccio forense. La investigacio del 2014, 2015, 2017 i 2022 va mostrar que els PIN d'aplicacions de boveda es saltaven en minuts o es recuperaven fitxers sense cap autenticacio. Un PIN de 4 digits trobat a la implementacio del 2019 de Private Photo Vault es va assenyalar com a trivialment atacable per forca bruta. El xifratge real de fitxers amb una funcio de derivacio de clau solida augmenta significativament la barra; un PIN d'acces per si sol no ho fa.
Keepsafe ven les meves dades?
La politica de privadesa de Keepsafe es l'unica del nostre conjunt d'auditoria que estableix explicitament que alguns compartiments de dades poden classificar-se en virtut de la llei de California com a "venda" o "compartiment" d'informacio personal. La politica tambe fa referencia a socis publicitaris. Aquesta es una divulgacio que les altres aplicacions del nostre conjunt no van fer. Si aixo constitueix una venda depen de la definicio legal aplicada, pero la politica es la mes explicita de la categoria en aquest punt.
Quina es la diferencia entre amagar fotos i xifrar-les?
Amagar mou un fitxer a un lloc menys visible al dispositiu; el fitxer subjacent no canvia i es llegible per qualsevol persona amb acces a l'emmagatzematge, incloent eines de copia de seguretat o programari forense. Xifrar transforma el fitxer en text xifrat que es il-legible sense la clau correcta. Moltes aplicacions de boveda nomes amaguen. Un estudi academic del 2022 (Ruffin et al.) va trobar que 15 de 20 aplicacions de boveda populars per a Android eren recuperables amb un adb pull basic, sense necessitat de desxifrar.
Es segur activar la copia de seguretat al nuvol en una aplicacio de boveda de fotos?
Nomes si la copia de seguretat es xifra abans de sortir del teu dispositiu i el proveidor no pot desxifrar-la. Si el proveidor pot recuperar els teus fitxers quan perds la contrasenya, la copia de seguretat es llegible pel proveidor i queda exposada en qualsevol vulneracio del servidor. L'incident de Firebase de Brain Craft del 2025 va exposar correus electronics, contrasenyes en text pla i noms de carpetes precisament perque el costat del nuvol no tenia cap proteccio. Busca arquitectura de coneixement zero amb xifratge abans de la pujada.
Quina aplicacio de boveda de fotos no requereix compte ni acces a internet?
Diverses aplicacions funcionen completament sense connexio i sense compte. A la nostra auditoria, dues tenien l'etiqueta "Dades no recopilades" d'Apple: Safe Lock i Secret Photo Vault Lock Photos. Vaultaire no requereix cap compte, cap adreca electronica ni cap connexio de xarxa per xifrar i emmagatzemar fitxers. No requerir cap compte elimina completament la superficie d'atac del magatzem de credencials, que es exactament la classe d'exposicio que va demostrar l'incident de Firebase de Brain Craft del 2025.