Biztonságosak a fotótároló alkalmazások? Egy 2026-os biztonsági ellenőrzés
A legtöbb iOS fotótároló alkalmazás a képernyőt védi, nem a fájlokat. A 2026 júniusi ellenőrzésünkben, amely 12 leggyakrabban telepített tároló alkalmazásra terjedt ki, csak egy nevezett meg konkrét titkosítási algoritmust az App Store listájában, és 12-ből 7 nyilatkozott, hogy nyomon követ. A megbízható alkalmazások kisebbséget alkotnak: azok, amelyek valódi algoritmust neveznek meg, nem tartják az adatkulcsodat, és semmit nem gyűjtenek.
A fotótároló alkalmazások nem egyformán biztonságosak. A 2026 júniusi ellenőrzésünkben, amely 12 leggyakrabban telepített iOS tároló alkalmazást vizsgált, 12-ből 7 nyilatkozott, hogy alkalmazásokon és webhelyeken keresztül nyomon követi a felhasználókat, csak 1 nevezett meg konkrét algoritmust a listájában, és egy évtizednyi független kutatás ismételten talált olyan alkalmazásokat, amelyek "titkosítást" reklámoznak, miközben a fájlokat plain-textben vagy triviális homályosítás mögött tárolják. A biztonságosak valódi algoritmust neveznek meg, nem igényelnek fiókot, és nem tartják az adatkulcsodat.
Mit ellenőriztünk, és mit nem teszteltünk
2026 júniusában az App Privacy jelzést, a közzétett adatvédelmi szabályzatot és az App Store leírást lekértük az amerikai App Store legjobb fotótároló és fotórejtő alkalmazásaihoz, amelyeket bolti helyezés és értékelési mennyiség alapján rangsoroltunk. Minden alkalmazást a tényleges biztonsági modellje alapján soroltuk be, és egy évtizednyi dokumentált tároló alkalmazáshiba ellen kereszthivatkoztunk, csak az elsődleges vagy megerősített forrásra visszavezethető incidenseket tartva meg.
Két korlát fontos. Először is, az App Store adatvédelmi jelzések önbevallásúak; az Apple nem ellenőrzi azokat, ezért egy alkalmazás kevesebbet nyilatkozhat, mint amennyit gyűjt. Másodszor, ez egy jelzés, szabályzat és architektúra áttekintés plusz egy nyilvános incidens-nyilvántartás. Nem végeztünk élő hálózati rögzítést, ezért nem állítunk semmit olyan forgalomról, amelyet személyesen nem figyeltünk meg. Minden itt ellenőrizhető az oldal alján felsorolt forrásokkal szemben.
1. megállapítás: A "titkosítás" általában egy szó, nem ellenőrizhető tény
A kategória a "katonai szintű titkosítás" kifejezésre épül. Ez önmagában semmit sem jelent. Az AES-256 egy nyilvános szabvány, katonai minősítés nélkül; a kifejezés marketing, amely azért marad fenn, mert specifikációnak hangzik. Ami valójában számít, az az, hogy egy alkalmazás nevez-e meg algoritmust, kulcshosszt és kulcslevezetési módszert, amelyet értékelhetsz.
A 12 alkalmazás jelzés-ellenőrzésén pontosan egy alkalmazás nevezett meg konkrét algoritmust az App Store leírásában: a Secret Photos KYMS, amely azt mondja: "AES". Minden más alkalmazás vagy "katonai szintű titkosítást", "titkosított tárolást", "nulla-ismeret architektúrát" mondott, vagy egyáltalán nem nevezett meg titkosítást. Mélyebbre ásva nyolc alkalmazás fejlesztői webhelyein és szabályzatain, csak három nevezett meg valódi algoritmust a hivatalos anyagaiban: a LockMyPix az AES-CTR-t, a Private Photo Vault opcionális felhőalapú tárolója az AES-256-ot, a Calculator# pedig az AES-256-ot PBKDF2-vel 200 000 iterációnál teszi közzé. Ez a három megérdemli az elismerést, amiért megmutatja a munkáját.
Van egy különbség, amelyet a legtöbb tároló-lista elmosódik: egy fotó elrejtése nem ugyanaz, mint titkosítása. Az elrejtés egy fájlt kevésbé látható helyre helyez. A titkosítás kulcs nélkül használhatatlan rejtjelszövegké alakítja. Egy PIN-képernyő, amely közönséges fájlok mappáját védi, függöny, nem fal. Aki biztonsági másolaton, törvényszéki eszközön vagy adb parancson keresztül éri el az alatta lévő fájlokat, egyenesen bemegy.
2. megállapítás: Az adatvédelmi jelzések többet mondanak, mint a marketing
Az Apple App Privacy jelzések az App Store leghitelesebb oldalai, mert meghamisításuk szabályzatsértés. Ez az, ahol a marketingszöveg és a tényleges adatkezelési gyakorlat megszűnik egyezni. A 2026 júniusi ellenőrzésünk megállapította, hogy a 12 alkalmazásból 7 deklarálja az "Adatok, amelyeket a nyomon követésedhez használnak" kategóriát, amely az Apple kifejezése a más vállalatok alkalmazásain és webhelyein keresztüli nyomon követésre megosztott adatokra. A 12-ből csak 2 viseli az Apple "Adatok nem gyűjthetők" jelzését, az üzlet legerősebb adatvédelmi tanúsítványát: Safe Lock és Secret Photo Vault Lock Photos.
A gyűjtemény két legjobban értékelt alkalmazása, a Private Photo Vault (Pic Safe) és az SV Private Photo Vault PRO, mindkettő a Legendary Software Labs által kiadott, és együttesen körülbelül 1,026 millió kombinált értékelésük van. Mindkettő nyomon követi a felhasználókat, és saját jelzéseik szerint összekapcsolja fotóidat, videóidat és eszközazonosítóidat a személyazonosságoddal. A Best Secret Folder viseli a gyűjtemény legszélesebb "személlyel kapcsolt" lábnyomát: helyszín, teljes kapcsolattartási adatok, beleértve a nevet, e-mailt és telefonszámot, valamint fotóid, videóid és hangfelvételeid, mindeközben hirdetéseket jelenít meg. Egy privátfotó-alkalmazás, amely összekapcsolja fotóidat a személyazonosságoddal és nyomon követ más alkalmazásokon, más problémát old meg, mint amire letöltötted.
Az ellenőrzés többi alkalmazása saját történetét meséli. A Private Photo Vault (Pic Safe) és az SV Private Photo Vault PRO nem nevez meg algoritmust a listájában, csak a "titkos érték a titkosításhoz/visszafejtéshez" kifejezést használja. A Keepsafe "katonai szintűként" írja le titkosítását, algoritmust nem megnevezve. A Privault "titkosított tárolást" mond. A HiddenVault "nulla-ismeret architektúrát" állít, de algoritmust nem nevez meg. A Calculator# nem nevez meg algoritmust az App Store listájában. A Best Secret Folder és a Hide It Pro egyáltalán semmit sem nevez meg. Csak a KYMS nevezi meg az AES-t, és csak az Encamera nyílt forráskódú, amely az ellenőrizhetőség egy másik formáját kínálja.
3. megállapítás: A fiók és a felhőalapú backend egy második támadási felület
A helyi fájlkezelés hibátlan lehet, és az alkalmazás még mindig kiszivároghat, mert a backend egy külön támadási felület. Azok az alkalmazások, amelyek fiókot igényelnek és fájljaidat saját szerverükön tárolják, arra kérnek, hogy bízzál egy általad nem vizsgálható adatbázisban.
A Keepsafe a legnyilvánvalóbb példa erre a strukturális választásra. E-mail-cíMet igényel, mielőtt használhatnád, a tartalmat saját szerverein tárolja, és egy független biztonsági elemzés azt találta, hogy a vállalat megőrzi a felhasználói fotókhoz való hozzáférés képességét. Az adatvédelmi szabályzata az egyetlen a gyűjteményünkben, amely beismeri, hogy egyes adatmegosztás a kaliforniai jog szerint személyes adatok eladásaként vagy megosztásaként minősülhet. Ez egy olyan közzétételeszköznyíl, amelyet a többiek nem tettek meg, és megmutatja, hogy ki tartja a kulcsot. Ha a szállító tartja a titkosítási kulcsot, a szállítói jogsértés a te jogsértésed. Az ezt elkerülő modell a nulla-ismeret titkosítás, ahol a szolgáltató nem tudja olvasni az adataidat, mert soha nem rendelkezik a kulccsal.
A 2025-ben érkezett a konkrét példa arra, mi megy rosszul. Egy Photo Vault nevű különálló alkalmazás, amelyet a Brain Craft fejlesztő adott ki, jelszóvédelem nélkül hagyta nyitva a Firebase-adatbázisát. A jogsértést a Cybernews jelentette 2025-ben, és a The Dead Pixels Society megerősítette. Felfedte a felhasználók e-mail-cíMeit, plain-text jelszavakat, fájl- és mappaneveket, valamint az alkalmazás biztonságos megjegyzések funkciójának tartalmát, egy körülbelül 72 000 letöltéssel rendelkező alkalmazás esetében. Pontosan: ez a Brain Craft alkalmazás nem azonos a Legendary Software Labs Private Photo Vault vagy Pic Safe termékével, a hasonló névlátólag ellenére. Maguk a fotók nem voltak az adatbázisban, de minden, ami a fiókokra való támadáshoz szükséges, ott volt, beleértve a plain-textben tárolt jelszavakat, amelyeket egy tároló alkalmazásnak soha nem szabad olvasható formában birtatnia, nemhogy nyilvánosságra hozni.
4. megállapítás: A hirdetési SDK a "privát" alkalmazásban
Az elolvasott nyolc adatvédelmi szabályzatból hét hivatkozott harmadik feles hirdetőkre. Kiemelkedik az NQ Vault, amelyet Vault-Hide-ként is terjesztenek, amelynek szabályzata hat, az alkalmazásba beágyazott hirdetési SDK-t sorol fel: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin és Unity. A hirdetőhálózat feladata a felhasználói profil felépítése. Hat ilyen beágyazása egy olyan alkalmazásba, amelynek teljes alapelve az adatvédelem, a kategória meghatározó iróniája, és a szabályzat szövegében van feltüntetve, nem a mi spekulációnkban.
A nyolc alkalmazás szabályzatainak áttekintéséből kiderülő tágabb minta: a nyolcból csak egy, a LockMyPix pozicionálja magát hirdetésmentesként az alapterméknél. A Private Photo Vault harmadik feles sütiket és hirdetőket említ. A Privault az AdMobot és az Umeng-elemzést sorolja fel. A Best Secret Folder személyre szabott hirdetőkre, Google Analyticsre és Firebase-re hivatkozik. A Hide It Pro harmadik feles hirdetési SDK-ra hivatkozik. A felhő nélküli, fiókot nem igénylő és algoritmust megnevező alkalmazások a kivételt, nem az alapértelmezést képviselik.
Egy évtizednyi dokumentált hiba
Ez nem újdonság. A "titkosítás" mintáját, amely nem titkosítás, 2014 óta ismételten dokumentálták névvel ellátott kutatók és szaklektorált tanulmányok. Az alábbiakban a bizalmi szintekkel ellátott incidens-nyilvántartás következik, mert némelyiküket jobban dokumentálták, mint másokat.
2014 szeptemberében Jonathan Zdziarski törvényszéki kutató megmutatta, hogy a Private Photo Vault, amely akkor több mint 3 millió felhasználóról számolt be, az alapértelmezett iOS tároláson kívül nem alkalmazott titkosítást. A fotók körülbelül öt perc alatt visszanyerhetők voltak plain-textben. Ezt az incidenst a zdziarski.com elsődleges forrásával szemben ellenőrizték.
2015 áprilisában a The Register és a Slate arról számolt be, hogy az NQ Mobile Vault, amely "titkosítást" reklámozott és több mint 10 millió letöltéssel rendelkezett, minden fájl első 128 bájtjára csak egyetlen bájtos XOR műveletet alkalmazott. Ez 256 lehetséges kulcsot hagy, és minden fájl maradékát plain-textben. Ezt az incidenst ellenőrizték.
2015 novemberében Michael Allen, az IOActive kutatója tesztelte a Private Photo Vaultot, egy "My Media" nevű alkalmazást és a Keepsafet, és mindháromba betört kevesebb mint 30 perc alatt. A módszerek közé tartozott a property-list fájlokban tárolt plain-text PIN-kódok, egy 5555-ös porton futó nem hitelesített webszerver, és a szerverről plain-textben visszaküldött album-jelszavak. Ezt az incidenst ellenőrizték.
2017-ben Zhang, Baggili és Breitinger szaklektorált tanulmányt tett közzé a Computers and Security (70. kötet) folyóiratban, amely 18 androidos tároló alkalmazást elemzett, körülbelül 220 millió kombinált letöltéssel. Hat nem titkosította a tárolt fotókat, 7 plain-textben tárolta a jelszavakat, és 10 root-hozzáférés nélkül tette ki a rejtett adatokat. A kutatás segített bizonyítékokat gyűjteni egy büntetőügyben: 66 képet és 18 videót. Ezt a tanulmányt ellenőrizték.
2019 júniusában egy forensicmike1 álnéven közzétevő kutató megállapította, hogy a Private Photo Vault AES-titkosítást adott hozzá RNCryptoron keresztül, de a főkulcsot statikusan tárolták az iOS Keychainben, és soha nem rotálták, amikor a felhasználó megváltoztatta a PIN-kódját. Egy 4 jegyű PIN a kulcsot triviálisan brute-force-olhatóvá tette. Ezt az incidenst ellenőrizték.
2022-ben Ruffin és kollégái szaklektorált tanulmányt tettek közzé az ACM WPES konferencián, amely 20 népszerű androidos tároló alkalmazást elemzett, mindegyiket több mint 10 millió letöltéssel. A 20-ból csak 5 kísérelt meg fájltitkosítást. 15 teljesen visszanyerhető volt egyszerű adb pull paranccsal, és 7 PIN-kódokat vagy helyreállítási e-maileket tároltak plain-textben. Ezt a tanulmányt ellenőrizték.
2025 februárjában a Kaspersky a SparkCat kampányról számolt be: az App Store-ban és a Google Playen egyaránt megtalálható alkalmazásokban talált rosszindulatú szoftver, amely eszközon futó optikai karakterfelismerést használt a felhasználók fotótárolóinak átvizsgálásához kriptovaluta seed-mondatok és jelszó-képernyőképek keresésére, majd exfiltrálta a találatokat. Az Apple és a Google eltávolította az alkalmazásokat. Ez volt az első ismert OCR-alapú fotótolvaj, amely átment az App Store ellenőrzésén. Ezt az incidenst ellenőrizték.
Két további incidens részleges ellenőrzéssel rendelkezik, és azzal a fenntartással kell olvasni azokat. Egy 2021-es elemzés olyan androidos számológép stílusú tároló alkalmazások egy családját találta meg, amelyek egyetlen hardcoded AES-CBC kulcsot osztottak meg minden telepítésen, ami azt jelenti, hogy egy ismert kulcs visszafejtette minden felhasználó médiáját. Ez részlegesen ellenőrzött, egyetlen technikailag specifikus kutatótól. Külön, a Vault-Hide alkalmazást India Elektronikai és Informatikai Minisztériuma 2017-ben megjelölte telefonszámok, IMEI-számok és telepített alkalmazáslisták exfiltrálása miatt, és állítólag átnevezte magát az eltávolítás elkerülése érdekében. Ez részlegesen ellenőrzött a Cybernews és a CPO Magazine másodlagos forrásain keresztül.
Egy adatpont figyelemre méltó a hiányával: egyetlen fogyasztói fotótároló alkalmazáshoz sem találtunk kiosztott CVE-t. A legközelebbi formális közzétételhez legközelebb egy 2018-as tanácsadó áll, amely egy nem kapcsolódó "Photo Vault" termékre vonatkozott, amelynek nem hitelesített WiFi-szervere volt, és közepes súlyossági fokra értékelték (CVSS 4,8), CVE kiadása nélkül (seclists.org Full Disclosure, 2018. január). A kategóriát nem követik nyomon formálisan, ami azt jelenti, hogy ezeket a hibákat többnyire független kutatók fedezték fel a koordinált közzétételi folyamaton kívül.
Hogyan értékelj valójában egy tároló alkalmazást
Nem kell visszafejteni semmit. Öt kérdés szűri ki a legtöbb kockázatot. Először: megnevez-e algoritmust? Az "AES-256" vagy "AES-GCM" olyan állítás, amelyet ellenőrizhetsz. A "katonai szintű" nem. Másodszor: igényel-e fiókot? Egy e-mail és jelszó egy olyan hitelesítő adattárat hoz létre, amely kiszivároghat, ahogy a Brain Craft Firebase-incidens megmutatta. Harmadszor: ha felhőbe másolja a biztonsági mentést, ki tartja a kulcsot? Ha a szállító vissza tudja állítani a jelszavadat és visszaállíthatja a fotóidat, a szállító olvashatja a fotóidat, és ugyanígy tesz mindenki, aki feltöri a szállítót.
Negyedszer: mit mond az App Privacy-jelzés és a szabályzat? Nyisd meg az App Privacy szekciót. Ha nyomon követ vagy összekapcsolja a fotóidat a személyazonosságoddal, higgy neki. Olvasd el a szabályzatot a hirdetési SDK-k közzétételéért. Ötödször: ellenőrizhető-e? Az "Adatok nem gyűjthetők", a kulcslevezetési részletekkel megnevezett algoritmusok és a nyílt forráskód mind olyan jelek, hogy egy alkalmazás elvárja az ellenőrzést. Azok az alkalmazások, amelyeket nem lehet ellenőrizni, arra számítanak, hogy nem fogod ellenőrizni.
Hol illik a Vaultaire ebbe a képbe
A Vaultaire-t a fentebb dokumentált specifikus hibaosztályok köré építettük, ezért indokolt, hogy azokhoz mérjük, nem marketinghez. A Vaultaire az AES-256-GCM titkosítási kulcsodat egy általad rajzolt 5x5-ös mintából vezeti le; a minta generálja a kulcsot, és soha nem tárolják, ezért nincs kiszivárogható jelszófájl, és semmi sincs a szerveren, amit brute-force-olni lehetne. Nincs fiók, ami azt jelenti, hogy nincs e-mail-cím és nincs hitelesítő adattár. Ez pontosan az, ami kiszivárgott a Brain Craft Firebase-incidensben.
A Vaultaire nulla-ismeretes: fájljaid és kulcsaid soha nem hagyják el az eszközt olvasható formában. Az opcionális iCloud-biztonsági másolatot a telefon elhagyása előtt titkosítják, ezért mi sem tudjuk olvasni, és az sem, aki feltör egy szervert. Nem tartjuk az adatkulcsodat, ami azt jelenti, hogy egy velünk kapcsolatos jogsértés nem a te jogsértésed. Ez nem azt állítja, hogy a Vaultaire az egyetlen biztonságos választás. Ez az architektúráról szól: a dokumentált hibákat elkerülő modell az, amelyben a szolgáltató soha nem tartja a kulcsodat és soha nem gyűjti az adataidat. Néhány más alkalmazás ennek részeit helyesen csinálja, és az ellenőrzés során meg is neveztük ezeket. Az ellenőrzés lényege, hogy most már te magad is ellenőrizhetsz bármely állítást.
Kapcsolódó olvasnivaló:
- Biztonságosak a fotótároló alkalmazások? A rövid verzió
- Mit jelent valójában az AES-256 titkosítás
- Nulla-ismeret titkosítás magyarázata
- Mit mondanak valójában a felhőalapú fotótároló adatvédelmi irányelvei
- Hogyan teszi a mintaalapú titkosítás a mintádat kulccsá
Források
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Gyakori kérdések
Tényleg biztonságosak a fotótároló alkalmazások?
Teljes mértékben az alkalmazástól függ, és a legtöbb gyengébb, mint amilyennek látszik. A 2026 júniusi ellenőrzésünkben a 12 leggyakrabban telepített iOS tároló alkalmazásból 7 nyilatkozott, hogy nyomon követ, és csak 1 nevezett meg konkrét algoritmust a listájában. Egy évtizednyi kutatás ismételten talált olyan alkalmazásokat, amelyek "titkosítást" reklámoznak, miközben a fájlokat plain-textben vagy triviális homályosítás mögött tárolják. A biztonságosak valódi algoritmust neveznek meg, nem igényelnek fiókot, és nem tartják az adatkulcsodat.
Láthatja-e a fotótároló fejlesztője a fotóimat?
Ha az alkalmazás saját felhőjében tárolja a fotóidat, és vissza tudja állítani a fiókodat, amikor elfelejteted a jelszavadat, akkor igen: a fejlesztő tartja a titkosítási kulcsot, és technikailag hozzáférhet a fotóidhoz, és ugyanígy tehet mindenki, aki feltöri a fejlesztő szervereit. Egy független elemzés megállapította, hogy ez a Keepsafe esetében fennáll. A nulla-ismeretes vagy csak helyi alkalmazások nem láthatják a fotóidat, mert soha nem tartják a kulcsot.
Valóban titkosított a Private Photo Vault (Pic Safe)?
A Private Photo Vault opcionális Cloud Vaultja AES-256-ot nevez meg, ami valódi algoritmus. Az alkalmazásnak azonban dokumentált gyengeségtörténete van: 2014-ben nem találtak titkosítást (Zdziarski), 2015-ben kevesebb mint 30 perc alatt feltörték (IOActive), és 2019-ben statikus, nem rotáló főkulcsot találtak (forensicmike1). Jelenlegi App Store adatvédelmi jelzése azt is deklarálja, hogy nyomon követ, és összekapcsolja a fotóidat a személyazonosságoddal.
Valóban titkosítást használnak a fotótároló alkalmazások, vagy csak PIN-kódot?
Sok csak PIN-kódot használ egy rejtett mappa felett, ami nem titkosítás. A rejtés kevésbé látható helyre visz egy fájlt; a fájl olvasható marad mindenki számára, aki biztonsági másolaton vagy törvényszéki eszközön keresztül eléri. A 20 androidos tároló alkalmazást vizsgáló 2022-es szaklektorált tanulmány (Ruffin és mtsai, ACM WPES) szerint csak 5 kísérelt meg valódi fájltitkosítást, és 15 teljesen visszanyerhető volt egyszerű adb pull paranccsal. A valódi titkosítás a fájlt kulcsot igénylő rejtjelszövegké alakítja.
Mi történik a fotóimmal, ha törlök egy tároló alkalmazást?
Ha az alkalmazás csak elrejtette a fájlokat (titkosítás nélkül), a fájlok egy elérhető helyen vagy biztonsági másolatokban maradhatnak az eszközön. Ha az alkalmazás helyben titkosította a fájlokat, és törlöd az alkalmazást exportálás nélkül, a rejtjelszöveg visszaállíthatatlanná válhat, mert a kulcs eltűnt. Ha az alkalmazás felhőalapú tárolást használt, a fájlok megmaradhatnak a szállító szerverein. Ellenőrizd az alkalmazás exportálási és törlési dokumentációját az eltávolítás előtt.
Megkerülhetik-e a törvényszéki eszközök vagy a rendőrség egy fotótároló alkalmazás PIN-kódját?
A csak PIN-kódon alapuló védelem kevés ellenállást nyújt a törvényszéki kinyerési eszközökkel szemben. A 2014-es, 2015-ös, 2017-es és 2022-es kutatások azt mutatták, hogy a tároló alkalmazások PIN-kódjait perceken belül megkerülték, vagy fájlokat nyertek vissza bármiféle hitelesítés nélkül. A Private Photo Vault 2019-es implementációjában talált 4 jegyű PIN-kódot triviálisan brute-force-olhatónak minősítették. A valódi fájltitkosítás erős kulcslevezetési funkcióval jelentősen emeli a mércét; egy PIN-kapu önmagában nem.
Eladja a Keepsafe az adataimat?
A Keepsafe adatvédelmi szabályzata az egyetlen az ellenőrzési gyűjteményünkben, amely kifejezetten kimondja, hogy egyes adatmegosztás a kaliforniai jog szerint személyes adatok "eladásának" vagy "megosztásának" minősülhet. A szabályzat hirdetési partnerekre is hivatkozik. Ez egy olyan közzétételeszköz, amelyet a többi alkalmazás nem tett meg a gyűjteményünkben. Az, hogy ez eladásnak minősül-e, az alkalmazott jogi meghatározástól függ, de a szabályzat a legexplicitebb a kategóriában ebben a pontban.
Mi a különbség a fotók elrejtése és titkosítása között?
Az elrejtés egy fájlt kevésbé látható helyre visz az eszközön; az alapul fekvő fájl változatlan, és olvasható mindenki számára, aki hozzáfér a tárolóhoz, beleértve a biztonsági mentési eszközöket vagy a törvényszéki szoftvert. A titkosítás a fájlt helyes kulcs nélkül olvashatatlan rejtjelszövegké alakítja. Sok tároló alkalmazás csak elrejt. Egy 2022-es akadémiai tanulmány (Ruffin és mtsai) megállapította, hogy 20 népszerű androidos tároló alkalmazásból 15 visszanyerhető volt alapvető adb pull paranccsal, visszafejtés nélkül.
Biztonságos-e engedélyezni a felhőalapú biztonsági mentést egy fotótároló alkalmazásban?
Csak akkor, ha a biztonsági másolatot az eszközöd elhagyása előtt titkosítják, és a szolgáltató nem tudja visszafejteni. Ha a szállító vissza tudja állítani a fájljaidat, amikor elveszíted a jelszavadat, a biztonsági másolat olvasható a szállító számára, és ki van téve bármilyen szerverbetörésnek. A 2025-ös Brain Craft Firebase-incidens pontosan azért tett ki e-maileket, plain-text jelszavakat és mappaneveket, mert a felhő oldalnál nem volt védelem. Keress nulla-ismeret architektúrát feltöltés előtti titkosítással.
Melyik fotótároló alkalmazáshoz nem kell fiók vagy internetkapcsolat?
Több alkalmazás is működik teljesen offline, fiók nélkül. Az ellenőrzésünkben kettő viselte az Apple "Adatok nem gyűjthetők" jelzését: Safe Lock és Secret Photo Vault Lock Photos. A Vaultaire nem igényel fiókot, e-mail-cíMet vagy hálózati kapcsolatot a fájlok titkosításához és tárolásához. A fiók megkövetelésének megszüntetése teljesen megszünteti a hitelesítő adattár támadási felületét, amely pontosan az a kitettségi kategória, amelyet a 2025-ös Brain Craft Firebase-incidens demonstrált.