Sind Foto-Vault-Apps sicher? Ein Sicherheitsaudit 2026
Die meisten iOS-Foto-Vault-Apps schutzen den Bildschirm, nicht die Dateien. In unserem Audit vom Juni 2026 uber 12 der meistinstallierten Vault-Apps nannte nur eine einen spezifischen Verschlusselungsalgorithmus in ihrem App Store-Eintrag, und 7 von 12 erklarten, dass sie dich verfolgen. Die Apps, denen man vertrauen kann, sind die Minderheit, die einen echten Algorithmus benennen, keinen Schlussel zu deinen Daten besitzen und nichts sammeln.
Foto-Vault-Apps sind nicht einheitlich sicher. In unserem Audit vom Juni 2026 uber 12 der meistinstallierten iOS-Vault-Apps erklarten 7 von 12, dass sie Nutzer uber Apps und Websites hinweg verfolgen, nur 1 nannte in ihrem Eintrag einen spezifischen Algorithmus, und ein Jahrzehnt unabhangiger Forschung hat wiederholt Apps gefunden, die "Verschlusselung" vermarkten, wahrend sie Dateien im Klartext oder hinter trivialer Verschleierung speichern. Die sicheren benennen einen echten Algorithmus, erfordern kein Konto und besitzen keinen Schlussel zu deinen Daten.
Was wir gepruft haben und was wir nicht getestet haben
Wir haben das App-Datenschutzetikett, die veroffentlichte Datenschutzrichtlinie und die App Store-Beschreibung fur die fuhrenden Foto-Vault- und Fotos-verstecken-Apps im US App Store im Juni 2026 abgerufen, geordnet nach Store-Position und Bewertungsvolumen. Wir klassifizierten jede App nach ihrem tatsachlichen Sicherheitsmodell und glichen ein Jahrzehnt dokumentierter Vault-App-Fehler ab, wobei wir nur Vorfalle beibehielten, die auf eine primare oder bestatige Quelle zuruckgefuhrt werden konnen.
Zwei Einschrankungen sind wichtig. Erstens sind App Store-Datenschutzetiketten selbst angegeben; Apple uberpruft sie nicht, sodass eine App weniger deklarieren konnte, als sie sammelt. Zweitens handelt es sich um eine Etiketten-, Richtlinien- und Architekturuberprusung sowie ein offentliches Vorfallsregister. Wir haben keine Live-Netzwerkaufzeichnung durchgefuhrt, daher machen wir keine Aussagen uber Verkehr, den wir nicht personlich beobachtet haben. Alles hier ist anhand der am Ende dieser Seite aufgefuhrten Quellen uberprufbar.
Befund 1: "Verschlusselung" ist meist ein Wort, keine verifizierbare Tatsache
Die Kategorie lebt von der Phrase "militarische Verschlusselung". Sie bedeutet fur sich genommen nichts. AES-256 ist ein offentlicher Standard ohne militarischen Rang; die Phrase ist Marketing, das uberleben, weil es wie eine Spezifikation klingt. Was tatsachlich zahlt, ist, ob eine App einen Algorithmus, eine Schlussellange und eine Schlusselableitungsmethode benennt, die du bewerten kannst.
Im 12-App-Etiketten-Audit nannte genau eine App einen spezifischen Algorithmus in ihrer App Store-Beschreibung: Secret Photos KYMS, die "AES" angibt. Jede andere App sagte entweder "militarische Verschlusselung", "verschlusselter Speicher", "Zero-Knowledge-Architektur", oder nannte uberhaupt keine Verschlusselung. Beim tieferen Blick auf die Entwickler-Websites und Richtlinien von acht Apps nannten nur drei einen echten Algorithmus irgendwo in ihren offiziellen Materialien: LockMyPix nennt AES-CTR, das optionale Cloud-Vault von Private Photo Vault nennt AES-256, und Calculator# offenbart AES-256 mit PBKDF2 bei 200.000 Iterationen. Diese drei verdienen Anerkennung dafur, dass sie ihre Arbeit zeigen.
Es gibt eine Unterscheidung, die die meisten Vault-Eintrage verwischen: ein Foto zu verstecken ist nicht dasselbe wie es zu verschlusseln. Verstecken verschiebt eine Datei an einen weniger sichtbaren Ort. Verschlusseln transformiert sie in Geheimtext, der ohne einen Schlussel nutzlos ist. Ein PIN-Bildschirm, der einen Ordner mit gewohnlichen Dateien schutzt, ist ein Vorhang, keine Wand. Jeder, der durch ein Backup, ein forensisches Tool oder einen adb-Befehl auf die darunterliegenden Dateien gelangt, kommt direkt hinein.
Befund 2: Die Datenschutzetiketten sagen mehr als das Marketing
Apples App-Datenschutzetiketten sind die ehrlichste Seite im App Store, weil es ein Richtlinienversto ist, sie zu falschen. Dort horen Marketing-Texte und tatsachliche Datenpraktiken auf, ubereinzustimmen. Unser Audit vom Juni 2026 ergab, dass 7 der 12 Apps "Daten zur Nachverfolgung" deklarieren, was Apples Begriff fur Daten ist, die dazu verwendet werden, dich uber Apps und Websites anderer Unternehmen hinweg zu verfolgen. Nur 2 von 12 tragen Apples "Keine Daten erfasst"-Etikett, die starkste Datenschutzbestatigung im Store: Safe Lock und Secret Photo Vault Lock Photos.
Die zwei am hochsten bewerteten Apps des Sets, Private Photo Vault (Pic Safe) und SV Private Photo Vault PRO, werden beide von Legendary Software Labs veroffentlicht und haben zusammen rund 1,026 Millionen kombinierte Bewertungen. Beide verfolgen Nutzer und verknupfen gema ihren eigenen Etiketten deine Fotos, Videos und Geratekennungen mit deiner Identitat. Best Secret Folder hat den breitesten "mit dir verknupft"-Fupabdruck des Sets: Standort, vollstandige Kontaktinformationen einschliesslich Name, E-Mail und Telefon sowie deine Fotos, Videos und Audio, wahrend Anzeigen geschaltet werden. Eine private Foto-App, die deine Fotos mit deiner Identitat verknupft und dich uber andere Apps hinweg verfolgt, lost ein anderes Problem als das, fur das du sie heruntergeladen hast.
Die ubrigen Apps im Audit erzahlen ihre eigene Geschichte. Private Photo Vault (Pic Safe) und SV Private Photo Vault PRO nennen keinen Algorithmus in ihren Eintragen und verwenden nur den Ausdruck "geheimer Wert zum Ver-/Entschlusseln". Keepsafe beschreibt seine Verschlusselung als "militarisch" ohne einen Algorithmus zu nennen. Privault sagt "verschlusselter Speicher". HiddenVault behauptet "Zero-Knowledge-Architektur", nennt aber keinen Algorithmus. Calculator# nennt keinen Algorithmus in seinem App Store-Eintrag. Best Secret Folder und Hide It Pro nennen uberhaupt nichts. Nur KYMS nennt AES, und nur Encamera ist Open Source, was eine andere Art von Uberprufbarkeit bietet.
Befund 3: Ein Konto und ein Cloud-Backend sind eine zweite Angriffsflache
Der lokale Dateihandling kann einwandfrei sein, und die App kann dennoch Daten preisgeben, weil das Backend eine separate Angriffsflache ist. Apps, die ein Konto erfordern und deine Dateien auf ihren Servern speichern, bitten dich, einer Datenbank zu vertrauen, die du nicht inspizieren kannst.
Keepsafe ist das deutlichste Beispiel fur diese strukturelle Entscheidung. Es erfordert eine E-Mail-Adresse, bevor du es verwenden kannst, speichert Inhalte auf eigenen Servern, und eine unabhangige Sicherheitsanalyse ergab, dass das Unternehmen die Fahigkeit behalt, auf Nutzerfotos zuzugreifen. Seine Datenschutzrichtlinie ist auch die einzige in unserem Set, die zugibt, dass einige Datenweitergaben gema kalifornischem Recht als Verkauf oder Weitergabe deiner personlichen Informationen klassifiziert werden konnten. Das ist eine Offenlegung, die die anderen nicht gemacht haben, und sie sagt dir, wer den Schlussel besitzt. Wenn ein Anbieter den Verschlusselungsschlussel besitzt, ist eine Panne beim Anbieter auch deine Panne. Das Modell, das dies vermeidet, ist Zero-Knowledge-Verschlusselung, bei der der Anbieter deine Daten nicht lesen kann, weil er den Schlussel niemals besitzt.
Das anschauliche Beispiel fur das, was schiefgehen kann, kam 2025. Eine separate App namens Photo Vault, veroffentlicht vom Entwickler Brain Craft, lie seine Firebase-Datenbank ohne Passwortschutz. Die Offenlegung wurde 2025 von Cybernews gemeldet und von The Dead Pixels Society bestatigt. Sie legte Nutzer-E-Mail-Adressen, Klartextpassworter, Datei- und Ordnernamen sowie den Inhalt der Funktion fur sichere Notizen der App offen, fur eine App mit etwa 72.000 Downloads. Um es genau zu sagen: Diese Brain Craft App ist nicht dasselbe Produkt wie Private Photo Vault oder Pic Safe von Legendary Software Labs, trotz des ahnlichen Namens. Die Fotos selbst waren nicht in der Datenbank, aber alles, was benotigt wird, um die Konten anzugreifen, war vorhanden, einschliesslich Passworter im Klartext, die eine Vault-App niemals in lesbarer Form besitzen, geschweige denn preisgeben sollte.
Befund 4: Das Werbe-SDK in der "privaten" App
Sieben der acht Datenschutzrichtlinien, die wir lasen, verwiesen auf Werbung von Drittanbietern. Der auffallendste Fall ist NQ Vault, auch als Vault-Hide vertrieben, dessen Richtlinie sechs in der App eingebettete Werbe-SDKs auflistet: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin und Unity. Die Aufgabe eines Werbenetzwerks ist es, ein Profil des Nutzers zu erstellen. Sechs davon in eine App einzubetten, deren gesamte Pramisse Privatsphare ist, ist die prasgende Ironie der Kategorie, und sie steht im Richtlinientext, nicht in unserer Spekulation.
Das breitere Muster aus der Richtlinienuberprusung der acht Apps: Nur eine der acht, LockMyPix, positioniert sich in ihrem Kernmodell als werbefrei. Private Photo Vault erwahnt Cookies von Drittanbietern und Werbung. Privault listet AdMob und Umeng Analytics. Best Secret Folder verweist auf massgeschneiderte Anzeigen, Google Analytics und Firebase. Hide It Pro verweist auf ein Werbe-SDK von Drittanbietern. Apps, die keine Cloud haben, kein Konto erfordern und einen Algorithmus benennen, sind die Ausnahme, nicht der Standard.
Ein Jahrzehnt dokumentierter Fehler
Nichts davon ist neu. Das Muster von "Verschlusselung", die keine ist, ist seit 2014 wiederholt dokumentiert worden, von benannten Forschern und begutachteten Studien. Was folgt, ist das Vorfallsregister mit Vertrauensstufen, da einige davon besser belegt sind als andere.
Im September 2014 zeigte der Forensikforscher Jonathan Zdziarski, dass Private Photo Vault, das damals uber 3 Millionen Nutzer meldete, keine Verschlusselung uber die Standard-iOS-Speicherung hinaus anwendete. Fotos waren in etwa funf Minuten im Klartext wiederherstellbar. Dieser Vorfall ist anhand einer Primarquelle auf zdziarski.com verifiziert.
Im April 2015 berichteten The Register und Slate, dass NQ Mobile Vault, das "Verschlusselung" vermarktete und uber 10 Millionen Downloads hatte, eine Ein-Byte-XOR-Operation nur auf die ersten 128 Bytes jeder Datei anwendete. Das lasst 256 mogliche Schlussel und den Rest jeder Datei im Klartext. Dieser Vorfall ist verifiziert.
Im November 2015 testete der IOActive-Forscher Michael Allen Private Photo Vault, eine App namens "My Media" und Keepsafe und brach in alle drei in jeweils unter 30 Minuten ein. Die Methoden umfassten Klartextbasierte PINs in Property-List-Dateien, einen nicht authentifizierten Webserver auf Port 5555 und Album-Passworter, die im Klartext vom Server zuruckgegeben wurden. Dieser Vorfall ist verifiziert.
Im Jahr 2017 veroffentlichten Zhang, Baggili und Breitinger eine begutachtete Studie in Computers and Security (Band 70), die 18 Android-Vault-Apps mit rund 220 Millionen kombinierten Downloads analysierte. Sechs verschlusselten gespeicherte Fotos nicht, 7 speicherten Passworter im Klartext, und 10 gaben versteckte Daten ohne Root-Zugriff preis. Die Forschung half, Beweise in einem Straffall zu sichern: 66 Bilder und 18 Videos. Diese Studie ist verifiziert.
Im Juni 2019 fand ein Forscher, der unter dem Namen forensicmike1 publiziert, dass Private Photo Vault AES-Verschlusselung uber RNCryptor hinzugefugt hatte, aber der Masterschlussel statisch im iOS Keychain gespeichert wurde und nie rotiert wurde, wenn der Nutzer seinen PIN anderte. Ein 4-stelliger PIN machte den Schlussel trivial per Brute-Force knackbar. Dieser Vorfall ist verifiziert.
Im Jahr 2022 veroffentlichten Ruffin und Kollegen eine begutachtete Studie bei ACM WPES, die 20 beliebte Android-Vault-Apps mit jeweils uber 10 Millionen Downloads analysierte. Nur 5 von 20 versuchten Dateiverschlusselung. 15 waren vollstandig mit einem einfachen adb pull wiederherstellbar, und 7 speicherten PINs oder Wiederherstellungs-E-Mails im Klartext. Diese Studie ist verifiziert.
Im Februar 2025 meldete Kaspersky die SparkCat-Kampagne: Malware in Apps sowohl im App Store als auch auf Google Play, die gerate-interne optische Zeichenerkennung nutzte, um Foto-Bibliotheken der Nutzer nach Kryptosaatphrasen und Screenshots von Passwortern zu durchsuchen und die Treffer zu exfiltrieren. Apple und Google entfernten die Apps. Es war der erste OCR-basierte Fotostehler, der nachweislich die App Store-Uberprusung passiert hatte. Dieser Vorfall ist verifiziert.
Zwei weitere Vorfalle haben partielle Verifizierung und sollten mit diesem Vorbehalt gelesen werden. Eine Analyse aus 2021 fand eine Familie von Taschenrechner-Vault-Apps auf Android, die einen einzigen hartcodierten AES-CBC-Schlussel uber jede Installation hinweg teilte, was bedeutet, dass ein bekannter Schlussel die Medien jedes Nutzers entschlusselte. Dies ist partiell verifiziert, von einem einzigen technisch spezifischen Forscher. Separat wurde die Vault-Hide-App 2017 vom indischen Ministerium fur Elektronik und Informationstechnologie wegen der Exfiltration von Telefonnummern, IMEI-Nummern und Listen installierter Apps gemeldet und entzog sich angeblich der Entfernung durch Umbenennung. Dies ist partiell verifiziert uber Cybernews und CPO Magazine als Sekundarquellen.
Ein Datenpunkt ist durch seine Abwesenheit bemerkenswert: Wir fanden keinen CVE, der einer Verbraucher-Foto-Vault-App zugewiesen wurde. Die nachste formale Offenlegung ist ein Hinweis aus 2018 zu einem unzusammenhangenden "Photo Vault"-Produkt mit einem nicht authentifizierten WLAN-Server, bewertet mit mittlerer Schwere (CVSS 4.8), ohne ausgegebenen CVE (seclists.org Full Disclosure, Januar 2018). Die Kategorie wird formal nicht verfolgt, was bedeutet, dass die meisten dieser Fehler von unabhangigen Forschern auerhalb jedes koordinierten Offenlegungsprozesses entdeckt wurden.
Wie man eine Vault-App wirklich bewertet
Du musst nichts dekompilieren. Funf Fragen filtern den Groteil des Risikos heraus. Erstens: Benennt sie einen Algorithmus? "AES-256" oder "AES-GCM" ist eine Aussage, die du prufen kannst. "Militarisch" ist es nicht. Zweitens: Erfordert sie ein Konto? Eine E-Mail und ein Passwort erstellen einen Anmeldedatenspeicher, der undicht werden kann, wie der Brain Craft Firebase-Vorfall zeigte. Drittens: Wenn sie in die Cloud sichert, wer besitzt den Schlussel? Wenn der Anbieter dein Passwort zurucksetzen und deine Fotos wiederherstellen kann, kann der Anbieter deine Fotos lesen, und dasselbe gilt fur jeden, der den Anbieter kompromittiert.
Viertens: Was sagen das App-Datenschutzetikett und die Richtlinie? Offne den App-Datenschutzbereich. Wenn er dich verfolgt oder deine Fotos mit deiner Identitat verknupft, glaube es. Lies die Richtlinie auf Werbe-SDK-Offenlegungen. Funftens: Ist sie pruefbar? "Keine Daten erfasst", benannte Algorithmen mit Schlusselableitungsdetails und Open-Source-Code sind Signale, dass eine App damit rechnet, gepruft zu werden. Apps, die nicht gepruft werden konnen, verlassen sich darauf, dass du nicht prufst.
Wo Vaultaire in dieses Bild passt
Wir haben Vaultaire um die spezifischen oben dokumentierten Fehlerklassen herum entwickelt, daher ist es fair, es daran zu messen anstatt am Marketing. Vaultaire leitet deinen AES-256-GCM-Verschlusselungsschlussel aus einem 5x5-Muster ab, das du zeichnest; das Muster generiert den Schlussel und wird niemals gespeichert, es gibt also keine Passwortdatei, die geleakt werden kann, und nichts auf einem Server, das per Brute-Force geknackt werden kann. Es gibt kein Konto, was bedeutet, dass es keine E-Mail-Adresse und keinen Anmeldedatenspeicher gibt. Das ist genau das, was im Brain Craft-Vorfall geleakt ist.
Vaultaire ist Zero-Knowledge: Deine Dateien und Schlussel verlassen das Gerat niemals in lesbarer Form. Das optionale iCloud-Backup wird verschlusselt, bevor es dein Telefon verlasst, sodass wir es nicht lesen konnen und auch niemand, der einen Server kompromittiert. Wir besitzen keinen Schlussel zu deinen Daten, was bedeutet, dass eine Panne bei uns keine Panne fur dich ist. Das ist nicht die Behauptung, dass Vaultaire die einzige sichere Wahl ist. Es ist eine Aussage uber Architektur: Das Modell, das die dokumentierten Fehler vermeidet, ist eines, bei dem der Anbieter niemals deinen Schlussel besitzt und niemals deine Daten sammelt. Einige andere Apps machen Teile davon richtig, und wir haben sie im Laufe dieses Audits benannt. Der Zweck des Audits ist, dass du jetzt jede Aussage selbst uberprufem kannst.
Weiterführende Artikel:
- Sind Foto-Vault-Apps sicher? Die Kurzversion
- Was AES-256-Verschlusselung wirklich bedeutet
- Zero-Knowledge-Verschlusselung erklart
- Was Datenschutzrichtlinien fur Cloud-Fotospeicher wirklich sagen
- Wie musterbasierte Verschlusselung dein Muster zum Schlussel macht
Quellen
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Häufig gestellte Fragen
Sind Foto-Vault-Apps wirklich sicher?
Es hangt vollstandig von der App ab, und die meisten sind schwacher als sie wirken. In unserem Audit vom Juni 2026 erklarten 7 von 12 der meistinstallierten iOS-Vault-Apps, dass sie dich verfolgen, und nur 1 nannte einen spezifischen Algorithmus in ihrem Eintrag. Ein Jahrzehnt Forschung hat wiederholt Apps gefunden, die "Verschlusselung" vermarkten, wahrend sie Dateien im Klartext oder hinter trivialer Verschleierung speichern. Die sicheren benennen einen echten Algorithmus, erfordern kein Konto und besitzen keinen Schlussel zu deinen Daten.
Kann ein Foto-Vault-Entwickler meine Fotos sehen?
Wenn die App deine Fotos in ihrer eigenen Cloud speichert und dein Konto wiederherstellen kann, wenn du dein Passwort vergisst, dann ja: Der Entwickler besitzt den Verschlusselungsschlussel und kann technisch auf deine Fotos zugreifen, genauso wie jeder, der die Server des Entwicklers kompromittiert. Eine unabhangige Analyse fand, dass dies bei Keepsafe der Fall ist. Apps, die Zero-Knowledge oder nur lokal sind, konnen deine Fotos nicht sehen, weil sie den Schlussel niemals besitzen.
Ist Private Photo Vault (Pic Safe) wirklich verschlusselt?
Das optionale Cloud Vault von Private Photo Vault nennt AES-256, was ein echter Algorithmus ist. Aber die App hat eine dokumentierte Geschichte von Schwachstellen: keine Verschlusselung 2014 gefunden (Zdziarski), in unter 30 Minuten 2015 geknackt (IOActive), und ein statischer, nicht rotierender Masterschlussel 2019 gefunden (forensicmike1). Ihr aktuelles App Store-Datenschutzetikett deklariert auch, dass sie dich verfolgt und deine Fotos mit deiner Identitat verknupft.
Verwenden Foto-Vault-Apps wirklich Verschlusselung oder nur einen PIN?
Viele verwenden nur einen PIN uber einem versteckten Ordner, was keine Verschlusselung ist. Verstecken verschiebt eine Datei an einen weniger sichtbaren Ort; die Datei bleibt fur jeden lesbar, der uber ein Backup oder ein forensisches Tool darauf zugreift. Eine begutachtete Studie aus 2022 uber 20 Android-Vault-Apps (Ruffin et al., ACM WPES) fand, dass nur 5 echte Dateiverschlusselung versuchten, und 15 mit einem einfachen adb pull vollstandig wiederherstellbar waren. Echte Verschlusselung wandelt die Datei in Geheimtext um, der einen Schlussel erfordert.
Was passiert mit meinen Fotos, wenn ich eine Vault-App losche?
Wenn die App die Dateien nur versteckt hat (keine Verschlusselung), konnen die Dateien auf dem Gerat an einem zuganglichen Ort oder in Backups verbleiben. Wenn die App die Dateien lokal verschlusselt hat und du die App loschst, ohne zu exportieren, konnte der Geheimtext unwiederherstellbar werden, weil der Schlussel weg ist. Wenn die App Cloud-Speicher verwendet, konnen die Dateien auf den Servern des Anbieters bestehen bleiben. Pruf die Export- und Loschungsdokumentation der App, bevor du sie deinstallierst.
Konnen Forensik-Tools oder die Polizei einen Foto-Vault-PIN umgehen?
Nur-PIN-Schutz bietet wenig Widerstand gegen forensische Extraktionstools. Forschung von 2014, 2015, 2017 und 2022 zeigte, dass Vault-App-PINs in Minuten umgangen wurden oder Dateien ganz ohne Authentifizierung wiederhergestellt wurden. Ein 4-stelliger PIN aus Private Photo Vaults 2019-Implementierung wurde als trivial per Brute-Force knackbar eingestuft. Echte Dateiverschlusselung mit einer starken Schlusselableitungsfunktion erhoht die Hurde erheblich; eine PIN-Absicherung allein tut es nicht.
Verkauft Keepsafe meine Daten?
Keepsafes Datenschutzrichtlinie ist die einzige in unserem Audit-Set, die explizit feststellt, dass einige Datenweitergaben gema kalifornischem Recht als "Verkauf" oder "Weitergabe" personlicher Informationen klassifiziert werden konnten. Die Richtlinie verweist auch auf Werbepartner. Das ist eine Offenlegung, die die anderen Apps in unserem Set nicht gemacht haben. Ob das einen Verkauf darstellt, hangt von der angewandten Rechtsdefinition ab, aber die Richtlinie ist die expliziteste der Kategorie zu diesem Punkt.
Was ist der Unterschied zwischen dem Verstecken und dem Verschlusseln von Fotos?
Verstecken verschiebt eine Datei an einen weniger sichtbaren Ort auf dem Gerat; die zugrundeliegende Datei ist unverandert und fur jeden mit Zugriff auf den Speicher lesbar, einschliesslich Backup-Tools oder forensischer Software. Verschlusseln transformiert die Datei in Geheimtext, der ohne den richtigen Schlussel unlesbar ist. Viele Vault-Apps verstecken nur. Eine akademische Studie aus 2022 (Ruffin et al.) fand, dass 15 von 20 beliebten Android-Vault-Apps mit einem einfachen adb pull wiederherstellbar waren, ohne jede Entschlusselung.
Ist es sicher, Cloud-Backup in einer Foto-Vault-App zu aktivieren?
Nur wenn das Backup verschlusselt wird, bevor es dein Gerat verlasst, und der Anbieter es nicht entschlusseln kann. Wenn der Anbieter deine Dateien wiederherstellen kann, wenn du dein Passwort verlierst, ist das Backup fur den Anbieter lesbar und bei jeder Server-Panne exponiert. Der Brain Craft Firebase-Vorfall aus 2025 legte E-Mails, Klartextpassworter und Ordnernamen offen, genau weil die Cloud-Seite keinen Schutz hatte. Suche nach Zero-Knowledge-Architektur mit Verschlusselung vor dem Upload.
Welche Foto-Vault-App benotigt kein Konto oder Internetzugang?
Mehrere Apps funktionieren vollstandig offline ohne Konto. In unserem Audit trugen zwei Apples "Keine Daten erfasst"-Etikett: Safe Lock und Secret Photo Vault Lock Photos. Vaultaire benotigt kein Konto, keine E-Mail-Adresse und keine Netzwerkverbindung zum Verschlusseln und Speichern von Dateien. Kein Konto zu erfordern beseitigt die Angreifbarkeit des Anmeldedatenspeichers vollstandig, was genau die Klasse der Exposition ist, die der Brain Craft Firebase-Vorfall aus 2025 demonstriert hat.