Er foto-vault-apps sikre? En sikkerhedsrevision for 2026
De fleste iOS foto-vault-apps beskytter skærmen, ikke filerne. I vores juni 2026-revision af 12 af de mest installerede vault-apps navngav kun én en specifik krypteringsalgoritme i sit App Store-listing, og 7 af 12 erklærede, at de sporer dig. De apps, der er værd at stole på, er mindretallet, der navngiver en reel algoritme, ikke besidder nøglen til dine data og ikke indsamler noget.
Foto-vault-apps er ikke ensartet sikre. I vores juni 2026-revision af 12 af de mest installerede iOS vault-apps erklærede 7 af 12, at de sporer brugere på tværs af apps og websteder, kun 1 navngav en specifik algoritme i sit listing, og et årtis uafhængig forskning har gentagne gange fundet apps, der markedsfører "kryptering", mens de gemmer filer i klartekst eller bag triviel sløring. De sikre navngiver en reel algoritme, kræver ingen konto og besidder ingen nøgle til dine data.
Hvad vi reviderede, og hvad vi ikke testede
Vi indhentede App Privacy-mærkaten, den offentliggjorte privatlivspolitik og App Store-beskrivelsen for de bedst placerede foto-vault- og skjul-foto-apps i den amerikanske App Store i juni 2026, rangeret efter butiksplacering og vurderingsvolumen. Vi klassificerede hver app efter dens faktiske sikkerhedsmodel og krydsreferencerede et årtis dokumenterede vault-app-fejl, og vi medtog kun hændelser, der kan spores til en primær eller bekræftet kilde.
To begrænsninger er vigtige. For det første er App Store-privatlivsmærkater selvrapporterede; Apple reviderer dem ikke, så en app kan erklære mindre end den indsamler. For det andet er dette en mærkat-, politik- og arkitekturgennemgang plus et offentligt hændelsesregister. Vi kørte ikke live netværksopfangning, så vi fremsætter ingen påstande om trafik, vi ikke personligt observerede. Alt her kan kontrolleres mod kilderne angivet i bunden af denne side.
Fund 1: "Kryptering" er normalt et ord, ikke en verificerbar kendsgerning
Kategorien kører på udtrykket "militærkvalitetskryptering". Det betyder intet i sig selv. AES-256 er en offentlig standard uden militærkvalitet; udtrykket er markedsføring, der overlever, fordi det lyder som en specifikation. Det, der faktisk betyder noget, er om en app navngiver en algoritme, en nøglelængde og en nøgleafledningsmetode, som du kan evaluere.
På tværs af 12-app-mærkat-revisionen navngav præcis én app en specifik algoritme i sin App Store-beskrivelse: Secret Photos KYMS, der siger "AES". Alle andre apps sagde enten "militærkvalitetskryptering", "krypteret opbevaring", "Zero-Knowledge-arkitektur", eller navngav slet ingen kryptering. Ser vi dybere på otte apps' udviklerwebsteder og politikker, navngav kun tre en reel algoritme et sted i deres officielle materialer: LockMyPix navngiver AES-CTR, Private Photo Vaults valgfrie cloud vault navngiver AES-256, og Calculator# oplyser AES-256 med PBKDF2 ved 200.000 iterationer. Disse tre fortjener anerkendelse for at vise deres arbejde.
Der er en skelnen, som de fleste vault-listings slører: at skjule et foto er ikke det samme som at kryptere det. Skjuling flytter en fil et sted, der er mindre synligt. Kryptering transformerer den til krypteret tekst, der er ubrugelig uden en nøgle. En PIN-skærm, der beskytter en mappe med almindelige filer, er et gardin, ikke en mur. Enhver, der når filerne underneden via en sikkerhedskopi, et retsmedicinsk værktøj eller en adb-kommando, kan gå direkte ind.
Fund 2: Privatlivsmærkaterne siger mere, end markedsføringen gør
Apples App Privacy-mærkater er den mest ærlige side i App Store, fordi det at lyve på dem er en politikovertrædelse. Det er her, markedsføringsteksten og de faktiske datapraksisser holder op med at stemme overens. Vores juni 2026-revision fandt, at 7 af de 12 apps erklærer "Data Used to Track You", som er Apples betegnelse for data, der deles for at spore dig på tværs af andre virksomheders apps og websteder. Kun 2 af 12 bærer Apples "Data Not Collected"-mærkat, den stærkeste privatlivs-attest i butikken: Safe Lock og Secret Photo Vault Lock Photos.
De to højest vurderede apps i sættet, Private Photo Vault (Pic Safe) og SV Private Photo Vault PRO, er begge udgivet af Legendary Software Labs og har tilsammen ca. 1,026 millioner kombinerede vurderinger. Begge sporer brugere og knytter ifølge deres egne mærkater dine fotos, videoer og enheds-id'er til din identitet. Best Secret Folder bærer det bredeste "linked to you"-fodaftryk i sættet: placering, fuld kontaktinformation inklusive navn, e-mail og telefon, og dine fotos, video og lyd, mens den viser annoncer. En privat-foto-app, der knytter dine fotos til din identitet og sporer dig på tværs af andre apps, løser et andet problem end det, du downloadede den til.
De resterende apps i revisionen fortæller deres egen historie. Private Photo Vault (Pic Safe) og SV Private Photo Vault PRO navngiver ingen algoritme i deres listings og bruger kun udtrykket "secret value to encrypt/decrypt". Keepsafe beskriver sin kryptering som "militærkvalitet" uden at navngive en algoritme. Privault siger "krypteret opbevaring". HiddenVault hævder "Zero-Knowledge-arkitektur", men navngiver ingen algoritme. Calculator# navngiver ingen algoritme i sit App Store-listing. Best Secret Folder og Hide It Pro navngiver slet intet. Kun KYMS navngiver AES, og kun Encamera er open source, hvilket tilbyder en anden form for verificerbarhed.
Fund 3: En konto og en cloud-backend er en anden angrebsflade
Den lokale filhåndtering kan være fejlfri, og appen kan stadig lække, fordi backend'en er en separat angrebsflade. Apps, der kræver en konto og gemmer dine filer på deres egne servere, beder dig om at stole på en database, du ikke kan inspicere.
Keepsafe er det tydeligste eksempel på dette strukturelle valg. Den kræver en e-mailadresse, før du kan bruge den, opbevarer indhold på sine egne servere, og en uafhængig sikkerhedsanalyse fandt, at virksomheden bevarer muligheden for at tilgå brugerfotoer. Dens privatlivspolitik er også den eneste i vores sæt, der indrømmer, at noget datadeling kan klassificeres under californisk lovgivning som salg eller deling af dine personlige oplysninger. Det er en oplysning, de andre ikke fremlagde, og den fortæller dig, hvem der besidder nøglen. Når en leverandør besidder krypteringsnøglen, er et brud på leverandøren dit brud. Modellen, der undgår dette, er zero-knowledge-kryptering, hvor udbyderen ikke kan læse dine data, fordi den aldrig besidder nøglen.
Det gennemarbejdede eksempel på, hvad der går galt, kom i 2025. En separat app ved navn Photo Vault, udgivet af udvikleren Brain Craft, efterlod sin Firebase-database uden adgangskodebeskyttelse. Eksponeringen blev rapporteret af Cybernews i 2025 og bekræftet af The Dead Pixels Society. Den eksponerede brugernes e-mailadresser, adgangskoder i klartekst, fil- og mappenavne og indholdet af appens funktion til sikre noter, for en app med ca. 72.000 downloads. For at præcisere: denne Brain Craft-app er ikke det samme produkt som Private Photo Vault eller Pic Safe fra Legendary Software Labs, på trods af det lignende navn. Selve fotoene var ikke i databasen, men alt, hvad der var nødvendigt for at angribe konti, var der, herunder adgangskoder gemt i klartekst, som en vault-app aldrig bør besidde i læsbar form, endsige eksponere.
Fund 4: Annonce-SDK'en inde i den "private" app
Syv af de otte privatlivspolitikker, vi læste, refererede til tredjeparts-annoncering. Den fremtrædende er NQ Vault, der også distribueres som Vault-Hide, hvis politik lister seks annonce-SDK'er indlejret i appen: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin og Unity. Et annoncenetværks opgave er at opbygge en profil af brugeren. At indlejre seks af dem i en app, hvis hele formål er privatliv, er kategoriens definerende ironi, og den er angivet i politikteksten, ikke i vores spekulation.
Det bredere mønster fra otte-app-politikoversigten: kun én af de otte, LockMyPix, positionerer sig som annoncefri i sin kernemodel. Private Photo Vault nævner tredjeparts-cookies og annoncering. Privault lister AdMob og Umeng-analyser. Best Secret Folder refererer skræddersyede annoncer, Google Analytics og Firebase. Hide It Pro refererer et tredjeparts annonce-SDK. De apps, der ikke har cloud, ikke kræver en konto og navngiver en algoritme, er undtagelsen, ikke standarden.
Et årtis dokumenterede fejl
Dette er ikke nyt. Mønsteret med "kryptering", der ikke er kryptering, er blevet dokumenteret gentagne gange siden 2014 af navngivne forskere og fagfællebedømte undersøgelser. Det følgende er hændelsesregistret med tillidsgrader, fordi nogle af disse er bedre dokumenteret end andre.
I september 2014 viste retsmedicinsk forsker Jonathan Zdziarski, at Private Photo Vault, der dengang rapporterede over 3 millioner brugere, ikke anvendte nogen kryptering ud over standard iOS-opbevaring. Fotos kunne gendannes i klartekst på ca. fem minutter. Denne hændelse er verificeret mod en primær kilde på zdziarski.com.
I april 2015 rapporterede The Register og Slate, at NQ Mobile Vault, der markedsførte "kryptering" og havde over 10 millioner downloads, anvendte en enkelt-byte XOR-operation på kun de første 128 bytes af hver fil. Det efterlader 256 mulige nøgler og resten af hver fil i klartekst. Denne hændelse er verificeret.
I november 2015 testede IOActive-forsker Michael Allen Private Photo Vault, en app kaldet "My Media", og Keepsafe og brød ind i alle tre på under 30 minutter hver. Metoderne inkluderede PIN-koder i klartekst gemt i property-list-filer, en uautoriseret webserver, der kørte på port 5555, og albumadgangskoder returneret i klartekst fra serveren. Denne hændelse er verificeret.
I 2017 udgav Zhang, Baggili og Breitinger en fagfællebedømt undersøgelse i Computers and Security (bind 70), der analyserede 18 Android vault-apps med ca. 220 millioner kombinerede downloads. Seks krypterede ikke gemte fotos, 7 gemte adgangskoder i klartekst, og 10 eksponerede skjulte data uden root-adgang. Forskningen hjalp med at indhente bevismateriale i en straffesag: 66 billeder og 18 videoer. Denne undersøgelse er verificeret.
I juni 2019 fandt en forsker, der udgiver som forensicmike1, at Private Photo Vault havde tilføjet AES-kryptering via RNCryptor, men masterkøglen var gemt statisk i iOS Keychain og blev aldrig roteret, når brugeren ændrede sin PIN. En 4-cifret PIN gjorde nøglen trivielt let at brute-force. Denne hændelse er verificeret.
I 2022 udgav Ruffin og kolleger en fagfællebedømt undersøgelse på ACM WPES, der analyserede 20 populære Android vault-apps med over 10 millioner downloads hver. Kun 5 af 20 forsøgte filkryptering. 15 var fuldt gendannelige med en simpel adb pull, og 7 gemte PIN-koder eller gendannelses-e-mails i klartekst. Denne undersøgelse er verificeret.
I februar 2025 rapporterede Kaspersky SparkCat-kampagnen: malware fundet i apps på både App Store og Google Play, der brugte on-device optisk tegnlæsning til at scanne brugernes fotobiblioteker for kryptovaluta-seed-sætninger og skærmbilleder af adgangskoder, og derefter eksfiltrerede matchene. Apple og Google fjernede apps. Det var den første kendte OCR-baserede fotostjæler, der bestod App Store-gennemgang. Denne hændelse er verificeret.
To yderligere hændelser bærer delvis verifikation og bør læses med det forbehold. En analyse fra 2021 fandt en familie af lommeregner-stil vault-apps på Android, der delte en enkelt hardcoded AES-CBC-nøgle på tværs af alle installationer, hvilket betød, at én kendt nøgle dekrypterede alle brugeres medier. Dette er delvist verificeret fra en enkelt teknisk specifik forsker. Separat blev Vault-Hide-appen markeret af Indiens Ministerium for Elektronik og Informationsteknologi i 2017 for at eksfiltrere telefonnumre, IMEI-numre og lister over installerede apps, og den undgik angiveligt fjernelse ved at omdøbe sig selv. Dette er delvist verificeret via Cybernews og CPO Magazine sekundære kilder.
Et datapunkt er bemærkelsesværdigt for dets fravær: vi fandt ingen CVE tildelt nogen forbruger-foto-vault-app. Den nærmeste formelle oplysning er en rådgivning fra 2018 om et ikke-relateret "Photo Vault"-produkt med en uautoriseret WiFi-server, vurderet med mellemstor alvorlighed (CVSS 4,8), uden udstedt CVE (seclists.org Full Disclosure, januar 2018). Kategorien spores ikke formelt, hvilket betyder, at de fleste af disse fejl blev opdaget af uafhængige forskere uden for nogen koordineret oplysningstjeneste.
Sådan evaluerer du faktisk en vault-app
Du behøver ikke reverse-engineere noget. Fem spørgsmål filtrerer det meste af risikoen. For det første: navngiver den en algoritme? "AES-256" eller "AES-GCM" er en påstand, du kan kontrollere. "Militærkvalitet" er det ikke. For det andet: kræver den en konto? En e-mail og adgangskode opretter en legitimationsdatabase, der kan lække, som Brain Craft Firebase-hændelsen viste. For det tredje: hvis den sikkerhedskopierer til skyen, hvem besidder da nøglen? Hvis leverandøren kan nulstille din adgangskode og gendanne dine fotos, kan leverandøren læse dine fotos, og det kan enhver, der bryder ind hos leverandøren, også.
For det fjerde: hvad siger App Privacy-mærkaten og politikken? Åbn App Privacy-sektionen. Hvis den sporer dig eller knytter dine fotos til din identitet, så tro det. Læs politikken for oplysninger om annonce-SDK'er. For det femte: er den verificerbar? "Data Not Collected", navngivne algoritmer med nøgleafledningsdetaljer og open source-kode er alle signaler om, at en app forventer at blive kontrolleret. Apps, der ikke kan kontrolleres, regner med, at du ikke kontrollerer dem.
Hvor Vaultaire passer ind i dette billede
Vi byggede Vaultaire rundt om de specifikke fejlklasser, der er dokumenteret ovenfor, så det er rimeligt at måle os mod dem snarere end mod markedsføring. Vaultaire afleder din AES-256-GCM-krypteringsnøgle fra et 5-by-5-mønster, du tegner; mønsteret genererer nøglen og gemmes aldrig, så der er ingen adgangskodefil at lække og intet på en server at brute-force. Der er ingen konto, hvilket betyder ingen e-mailadresse og ingen legitimationsdatabase. Det er præcis det, der lækkede i Brain Craft-hændelsen.
Vaultaire er zero-knowledge: dine filer og nøgler forlader aldrig enheden i læsbar form. Den valgfrie iCloud-sikkerhedskopi krypteres, inden den forlader din telefon, så vi kan ikke læse den, og det kan heller ingen, der bryder ind på en server. Vi besidder ingen nøgle til dine data, hvilket betyder, at et brud på os ikke er et brud på dig. Det er ikke en påstand om, at Vaultaire er det eneste sikre valg. Det er en påstand om arkitektur: modellen, der undgår de dokumenterede fejl, er en, hvor udbyderen aldrig besidder din nøgle og aldrig indsamler dine data. Et par andre apps gør dele af dette rigtigt, og vi navngav dem undervejs i denne revision. Pointen med revisionen er, at du nu selv kan kontrollere enhver påstand.
Relateret læsning:
- Er foto-vault-apps sikre? Den korte version
- Hvad AES-256-kryptering faktisk betyder
- Zero-knowledge-kryptering forklaret
- Hvad cloud foto-opbevaringspolitikker faktisk siger
- Hvordan mønsterbaseret kryptering gør dit mønster til nøglen
Kilder
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Ofte stillede spørgsmål
Er foto-vault-apps faktisk sikre?
Det afhænger helt af appen, og de fleste er svagere, end de ser ud. I vores juni 2026-revision erklærede 7 af 12 af de mest installerede iOS vault-apps, at de sporer dig, og kun 1 navngav en specifik algoritme i sit listing. Et årtis forskning har gentagne gange fundet apps, der markedsfører "kryptering", mens de gemmer filer i klartekst eller bag triviel sløring. De sikre navngiver en reel algoritme, kræver ingen konto og besidder ingen nøgle til dine data.
Kan en foto-vault-udvikler se mine fotos?
Hvis appen gemmer dine fotos i sin egen sky og kan gendanne din konto, når du glemmer din adgangskode, ja: udvikleren besidder krypteringsnøglen og kan teknisk set tilgå dine fotos, og det kan enhver, der bryder ind på udviklererens servere, også. En uafhængig analyse fandt, at dette er tilfældet for Keepsafe. Apps, der er zero-knowledge eller kun lokale, kan ikke se dine fotos, fordi de aldrig besidder nøglen.
Er Private Photo Vault (Pic Safe) faktisk krypteret?
Private Photo Vaults valgfrie Cloud Vault navngiver AES-256, som er en reel algoritme. Men appen har en dokumenteret historik med svagheder: ingen kryptering fundet i 2014 (Zdziarski), brudt på under 30 minutter i 2015 (IOActive) og en statisk, ikke-roterende masternøgle fundet i 2019 (forensicmike1). Dens nuværende App Store-privatlivsmærkat erklærer også, at den sporer dig og knytter dine fotos til din identitet.
Bruger foto-vault-apps faktisk kryptering, eller bare en PIN?
Mange bruger kun en PIN over en skjult mappe, hvilket ikke er kryptering. Skjuling flytter en fil til en mindre synlig placering; filen forbliver læsbar for enhver, der når den via en sikkerhedskopi eller et retsmedicinsk værktøj. En fagfællebedømt undersøgelse fra 2022 af 20 Android vault-apps (Ruffin et al., ACM WPES) fandt, at kun 5 forsøgte reel filkryptering, og 15 var fuldt gendannelige med en simpel adb pull. Reel kryptering transformerer filen til krypteret tekst, der kræver en nøgle.
Hvad sker der med mine fotos, hvis jeg sletter en vault-app?
Hvis appen kun skjulte filerne (ingen kryptering), kan filerne forblive på enheden på en tilgængelig placering eller i sikkerhedskopier. Hvis appen krypterede filerne lokalt, og du sletter appen uden at eksportere, kan den krypterede tekst blive uoprettelig, fordi nøglen er væk. Hvis appen brugte cloud-opbevaring, kan filerne fortsætte på leverandørens servere. Tjek appens eksport- og slettedokumentation, før du afinstallerer.
Kan retsmedicinske værktøjer eller politiet omgå en foto-vault-app's PIN?
PIN-only-beskyttelse giver ringe modstand mod retsmedicinske ekstraktionsværktøjer. Forskning fra 2014, 2015, 2017 og 2022 viste vault-app-PIN-koder omgået på minutter eller filer gendannet uden nogen autentificering overhovedet. En 4-cifret PIN fundet i Private Photo Vaults 2019-implementering blev bemærket som trivielt let at brute-force. Reel filkryptering med en stærk nøgleafledningsfunktion hæver barren markant; en PIN-gate alene gør det ikke.
Sælger Keepsafe mine data?
Keepsafes privatlivspolitik er den eneste i vores revisionssæt, der eksplicit anfører, at noget datadeling kan klassificeres under californisk lovgivning som "salg" eller "deling" af personlige oplysninger. Politikken refererer også til annoncepartnere. Det er en oplysning, de andre apps i vores sæt ikke fremlagde. Hvorvidt det udgør et salg afhænger af den anvendte juridiske definition, men politikken er den mest eksplicitte i kategorien om dette punkt.
Hvad er forskellen mellem at skjule fotos og at kryptere dem?
Skjuling flytter en fil et sted, der er mindre synligt på enheden; den underliggende fil er uændret og læsbar for enhver med adgang til opbevaring, herunder sikkerhedskopieringsværktøjer eller retsmedicinsk software. Kryptering transformerer filen til krypteret tekst, der er ulæselig uden den korrekte nøgle. Mange vault-apps skjuler kun. En akademisk undersøgelse fra 2022 (Ruffin et al.) fandt, at 15 af 20 populære Android vault-apps kunne gendannes med en grundlæggende adb pull, uden behov for dekryptering.
Er det sikkert at aktivere cloud-sikkerhedskopiering i en foto-vault-app?
Kun hvis sikkerhedskopien krypteres, inden den forlader din enhed, og udbyderen ikke kan dekryptere den. Hvis leverandøren kan gendanne dine filer, når du mister din adgangskode, er sikkerhedskopien læsbar for leverandøren og eksponeret i ethvert serverbrud. Brain Craft Firebase-hændelsen i 2025 eksponerede e-mails, adgangskoder i klartekst og mappenavne præcis fordi cloud-siden ikke havde nogen beskyttelse. Se efter zero-knowledge-arkitektur med kryptering inden upload.
Hvilken foto-vault-app kræver ikke en konto eller internetadgang?
Flere apps fungerer fuldt offline uden konto. I vores revision bar to Apples "Data Not Collected"-mærkat: Safe Lock og Secret Photo Vault Lock Photos. Vaultaire kræver ingen konto, ingen e-mailadresse og ingen netværksforbindelse for at kryptere og gemme filer. At kræve ingen konto eliminerer fuldstændigt angrebsfladen for legitimationsdatabasen, hvilket er præcis den klasse af eksponering, som Brain Craft Firebase-hændelsen i 2025 demonstrerede.