Le app vault foto sono sicure? Un audit di sicurezza del 2026
La maggior parte delle app vault foto iOS protegge lo schermo, non i file. Nel nostro audit di giugno 2026 su 12 delle app vault piu installate, solo una nominava un cifrario di crittografia specifico nella sua scheda App Store, e 7 su 12 dichiaravano di tracciarti. Le app che meritano fiducia sono la minoranza che nomina un cifrario reale, non detiene alcuna chiave per i tuoi dati e non raccoglie nulla.
Le app vault foto non sono uniformemente sicure. Nel nostro audit di giugno 2026 su 12 delle app vault iOS piu installate, 7 su 12 hanno dichiarato di tracciare gli utenti su app e siti web, solo 1 ha nominato un cifrario specifico nella propria scheda e un decennio di ricerca indipendente ha ripetutamente trovato app che commercializzano la "crittografia" pur memorizzando i file in chiaro o dietro un'offuscazione banale. Quelle sicure nominano un cifrario reale, non richiedono un account e non detengono alcuna chiave per i tuoi dati.
Cosa abbiamo verificato e cosa non abbiamo testato
Abbiamo estratto l'etichetta Privacy dell'app, la privacy policy pubblicata e la descrizione sull'App Store per le principali app vault foto e nascondi-foto nell'App Store statunitense a giugno 2026, classificate per posizione nello store e volume di valutazioni. Abbiamo classificato ogni app in base al suo modello di sicurezza effettivo e fatto riferimento incrociato a un decennio di fallimenti documentati delle app vault, conservando solo gli incidenti tracciabili a una fonte primaria o corroborata.
Due limiti sono rilevanti. Primo, le etichette sulla privacy dell'App Store sono auto-dichiarate; Apple non le verifica, quindi un'app potrebbe dichiarare meno di quanto raccoglie effettivamente. Secondo, si tratta di una revisione di etichette, policy e architettura piu un registro pubblico degli incidenti. Non abbiamo eseguito la cattura di rete in tempo reale, quindi non avanziamo alcuna pretesa sul traffico che non abbiamo osservato personalmente. Tutto qui e verificabile rispetto alle fonti elencate in fondo a questa pagina.
Risultato 1: "Crittografia" e di solito una parola, non un fatto verificabile
La categoria si regge sulla frase "crittografia di livello militare". Di per se non significa nulla. AES-256 e uno standard pubblico senza grado militare; la frase e marketing che sopravvive perche suona come una specifica. Cio che conta davvero e se un'app nomina un cifrario, una lunghezza della chiave e un metodo di derivazione della chiave che puoi valutare.
Nell'audit delle etichette delle 12 app, solo una nominava un cifrario specifico nella sua descrizione App Store: Secret Photos KYMS, che indica "AES". Ogni altra app diceva "crittografia di livello militare", "archiviazione crittografata", "architettura Zero-Knowledge" o non nominava alcuna crittografia. Approfondendo i siti degli sviluppatori e le policy di otto app, solo tre nominano un cifrario reale da qualche parte nei loro materiali ufficiali: LockMyPix nomina AES-CTR, il vault cloud opzionale di Private Photo Vault nomina AES-256 e Calculator# dichiara AES-256 con PBKDF2 a 200.000 iterazioni. Queste tre meritano riconoscimento per aver mostrato il proprio lavoro.
C'e una distinzione che la maggior parte delle schede vault offusca: nascondere una foto non significa crittografarla. Nascondere sposta un file in un posto meno visibile. Crittografare lo trasforma in testo cifrato inutile senza una chiave. Una schermata PIN che protegge una cartella di file ordinari e una tenda, non un muro. Chiunque raggiunga i file sottostanti tramite un backup, uno strumento forense o un comando adb entra direttamente.
Risultato 2: Le etichette sulla privacy dicono piu di quanto faccia il marketing
Le etichette Privacy dell'app di Apple sono la pagina piu onesta dell'App Store, perche falsificarle costituisce una violazione della policy. E qui che il testo di marketing e le pratiche effettive sui dati smettono di concordare. Il nostro audit di giugno 2026 ha rilevato che 7 delle 12 app dichiarano "Dati usati per tracciarti", che e il termine di Apple per i dati condivisi per tracciarti attraverso le app e i siti web di altre aziende. Solo 2 su 12 portano l'etichetta "Nessun dato raccolto" di Apple, la piu forte attestazione di privacy nello store: Safe Lock e Secret Photo Vault Lock Photos.
Le due app con la valutazione piu alta del set, Private Photo Vault (Pic Safe) e SV Private Photo Vault PRO, sono entrambe pubblicate da Legendary Software Labs e insieme hanno circa 1.026 milioni di valutazioni combinate. Entrambe tracciano gli utenti e, secondo le proprie etichette, collegano le tue foto, i video e gli identificatori del dispositivo alla tua identita. Best Secret Folder ha l'impronta "collegata a te" piu ampia del set: localizzazione, informazioni di contatto complete inclusi nome, email e telefono, e le tue foto, video e audio, mentre mostra pubblicita. Un'app per foto private che collega le tue foto alla tua identita e ti traccia in altre app sta risolvendo un problema diverso da quello per cui l'hai scaricata.
Le restanti app nell'audit raccontano la loro storia. Private Photo Vault (Pic Safe) e SV Private Photo Vault PRO non nominano alcun cifrario nelle loro schede, usando solo la frase "valore segreto per crittografare/decrittografare". Keepsafe descrive la sua crittografia come "di livello militare" senza nominare un cifrario. Privault dice "archiviazione crittografata". HiddenVault dichiara "architettura Zero-Knowledge" ma non nomina alcun algoritmo. Calculator# non nomina alcun cifrario nella sua scheda App Store. Best Secret Folder e Hide It Pro non nominano nulla. Solo KYMS nomina AES e solo Encamera e open source, il che offre un diverso tipo di verificabilita.
Risultato 3: Un account e un backend cloud sono una seconda superficie di attacco
La gestione dei file locali puo essere impeccabile e l'app puo comunque perdere dati, perche il backend e una superficie di attacco separata. Le app che richiedono un account e archiviano i tuoi file sui propri server ti chiedono di fidarti di un database che non puoi ispezionare.
Keepsafe e l'esempio piu chiaro di questa scelta strutturale. Richiede un indirizzo email prima di poterla usare, archivia il contenuto sui propri server e un'analisi di sicurezza indipendente ha rilevato che la societa mantiene la capacita di accedere alle foto degli utenti. La sua privacy policy e anche l'unica nel nostro set che ammette che alcune condivisioni di dati potrebbero essere classificate ai sensi della legge californiana come vendita o condivisione delle tue informazioni personali. Si tratta di una dichiarazione che le altre app non hanno fatto, e ti dice chi detiene la chiave. Quando un fornitore detiene la chiave di crittografia, una violazione del fornitore e una violazione per te. Il modello che evita questo e la crittografia zero-knowledge, in cui il fornitore non puo leggere i tuoi dati perche non detiene mai la chiave.
L'esempio concreto di cosa puo andare storto e arrivato nel 2025. Una app separata chiamata Photo Vault, pubblicata dallo sviluppatore Brain Craft, ha lasciato il suo database Firebase senza protezione tramite password. L'esposizione e stata segnalata da Cybernews nel 2025 e corroborata da The Dead Pixels Society. Ha esposto indirizzi email degli utenti, password in chiaro, nomi di file e cartelle e il contenuto della funzione note sicure dell'app, per un'app con circa 72.000 download. Per essere precisi: questa app di Brain Craft non e lo stesso prodotto di Private Photo Vault o Pic Safe di Legendary Software Labs, nonostante il nome simile. Le foto stesse non erano nel database, ma tutto il necessario per attaccare gli account c'era, incluse le password memorizzate in chiaro, cosa che un'app vault non dovrebbe mai avere in forma leggibile, figuriamoci esporre.
Risultato 4: L'SDK pubblicitario all'interno dell'app "privata"
Sette delle otto privacy policy che abbiamo letto facevano riferimento alla pubblicita di terze parti. Il caso piu eclatante e NQ Vault, distribuito anche come Vault-Hide, la cui policy elenca sei SDK pubblicitari incorporati nell'app: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin e Unity. Il compito di una rete pubblicitaria e costruire un profilo dell'utente. Incorporarne sei all'interno di un'app la cui intera premessa e la privacy e l'ironia definitoria della categoria, ed e dichiarato nel testo della policy, non nella nostra speculazione.
Il quadro piu ampio dalla revisione delle policy di otto app: solo una delle otto, LockMyPix, si posiziona come priva di pubblicita nel suo modello principale. Private Photo Vault menziona cookie e pubblicita di terze parti. Privault elenca AdMob e Umeng analytics. Best Secret Folder fa riferimento a pubblicita personalizzata, Google Analytics e Firebase. Hide It Pro fa riferimento a un SDK pubblicitario di terze parti. Le app che non usano il cloud, non richiedono un account e nominano un cifrario sono l'eccezione, non la norma.
Un decennio di fallimenti documentati
Questo non e nuovo. Lo schema della "crittografia" che non e crittografia e stato documentato ripetutamente dal 2014, da ricercatori nominati e studi peer-reviewed. Di seguito e riportato il registro degli incidenti con i livelli di affidabilita, perche alcuni di questi sono meglio documentati di altri.
Nel settembre 2014, il ricercatore forense Jonathan Zdziarski ha dimostrato che Private Photo Vault, che all'epoca dichiarava oltre 3 milioni di utenti, non applicava alcuna crittografia oltre all'archiviazione iOS predefinita. Le foto erano recuperabili in chiaro in circa cinque minuti. Questo incidente e verificato rispetto a una fonte primaria su zdziarski.com.
Nell'aprile 2015, The Register e Slate hanno riferito che NQ Mobile Vault, che commercializzava la "crittografia" e aveva oltre 10 milioni di download, applicava un'operazione XOR di un singolo byte solo ai primi 128 byte di ogni file. Questo lascia 256 chiavi possibili e il resto di ogni file in chiaro. Questo incidente e verificato.
Nel novembre 2015, il ricercatore di IOActive Michael Allen ha testato Private Photo Vault, un'app chiamata "My Media" e Keepsafe e ha violato tutte e tre in meno di 30 minuti ciascuna. I metodi includevano PIN in chiaro memorizzati in file di elenco proprieta, un server web non autenticato in esecuzione sulla porta 5555 e password degli album restituite in chiaro dal server. Questo incidente e verificato.
Nel 2017, Zhang, Baggili e Breitinger hanno pubblicato uno studio peer-reviewed in Computers and Security (volume 70) che analizzava 18 app vault Android con circa 220 milioni di download combinati. Sei non crittografavano le foto memorizzate, 7 memorizzavano le password in chiaro e 10 esponevano dati nascosti senza accesso root. La ricerca ha contribuito a recuperare prove in un caso penale: 66 immagini e 18 video. Questo studio e verificato.
Nel giugno 2019, un ricercatore che pubblica come forensicmike1 ha scoperto che Private Photo Vault aveva aggiunto la crittografia AES tramite RNCryptor, ma la chiave master era memorizzata staticamente nel Portachiavi iOS e non veniva mai ruotata quando l'utente cambiava il PIN. Un PIN a 4 cifre rendeva la chiave banalmente attaccabile con forza bruta. Questo incidente e verificato.
Nel 2022, Ruffin e colleghi hanno pubblicato uno studio peer-reviewed all'ACM WPES che analizzava 20 app vault Android popolari con oltre 10 milioni di download ciascuna. Solo 5 su 20 tentavano la crittografia dei file. 15 erano completamente recuperabili con un semplice adb pull e 7 memorizzavano PIN o email di recupero in chiaro. Questo studio e verificato.
Nel febbraio 2025, Kaspersky ha segnalato la campagna SparkCat: malware trovato in app sia sull'App Store che su Google Play che utilizzava il riconoscimento ottico dei caratteri sul dispositivo per scansionare le librerie di foto degli utenti alla ricerca di frasi seed per criptovalute e screenshot di password, quindi esfiltrava le corrispondenze. Apple e Google hanno rimosso le app. Era il primo ladro di foto basato su OCR noto a superare la revisione dell'App Store. Questo incidente e verificato.
Due incidenti aggiuntivi portano una verifica parziale e dovrebbero essere letti con questa avvertenza. Un'analisi del 2021 ha trovato una famiglia di app vault in stile calcolatrice su Android che condividevano una singola chiave AES-CBC codificata in modo fisso in ogni installazione, il che significa che una chiave nota decrittografava i media di ogni utente. Questo e parzialmente verificato, da un singolo ricercatore tecnicamente specifico. Separatamente, l'app Vault-Hide e stata segnalata dal Ministero dell'Elettronica e della Tecnologia dell'Informazione indiano nel 2017 per l'esfiltrazione di numeri di telefono, numeri IMEI e liste di app installate, e avrebbe eluso la rimozione rinominandosi. Questo e parzialmente verificato tramite fonti secondarie di Cybernews e CPO Magazine.
Un dato e notevole per la sua assenza: non abbiamo trovato nessun CVE assegnato ad alcuna app vault foto per consumatori. La piu vicina comunicazione formale e un advisory del 2018 su un prodotto "Photo Vault" non correlato con un server WiFi non autenticato, classificato di gravita media (CVSS 4.8), senza CVE emesso (seclists.org Full Disclosure, gennaio 2018). La categoria non viene tracciata formalmente, il che significa che la maggior parte di questi fallimenti sono stati individuati da ricercatori indipendenti al di fuori di qualsiasi processo di divulgazione coordinata.
Come valutare davvero un'app vault
Non hai bisogno di fare reverse engineering di nulla. Cinque domande filtrano la maggior parte dei rischi. Prima: nomina un cifrario? "AES-256" o "AES-GCM" e un'affermazione che puoi verificare. "Livello militare" non lo e. Seconda: richiede un account? Un'email e una password creano un archivio di credenziali che puo perdere dati, come ha dimostrato l'incidente Firebase di Brain Craft. Terza: se esegue il backup sul cloud, chi detiene la chiave? Se il fornitore puo reimpostare la tua password e recuperare le tue foto, il fornitore puo leggere le tue foto, e cosi chiunque violi il fornitore.
Quarta: cosa dicono l'etichetta Privacy dell'app e la policy? Apri la sezione Privacy dell'app. Se ti traccia o collega le tue foto alla tua identita, credici. Leggi la policy per le dichiarazioni sugli SDK pubblicitari. Quinta: e verificabile? "Nessun dato raccolto", cifrari nominati con dettagli sulla derivazione della chiave e codice open source sono tutti segnali che un'app si aspetta di essere esaminata. Le app che non possono essere controllate si affidano al fatto che tu non le controlli.
Dove si inserisce Vaultaire in questo quadro
Abbiamo costruito Vaultaire attorno alle specifiche classi di fallimento documentate sopra, quindi e giusto misurarci rispetto a esse piuttosto che rispetto al marketing. Vaultaire deriva la tua chiave di crittografia AES-256-GCM da un pattern 5x5 che disegni; il pattern genera la chiave e non viene mai memorizzato, quindi non c'e nessun file di password da far trapelare e niente su un server da attaccare con forza bruta. Non c'e nessun account, il che significa nessun indirizzo email e nessun archivio di credenziali. E esattamente la cosa che ha causato la perdita nell'incidente Brain Craft.
Vaultaire e zero-knowledge: i tuoi file e le tue chiavi non lasciano mai il dispositivo in forma leggibile. Il backup iCloud opzionale e crittografato prima di lasciare il tuo telefono, quindi non possiamo leggerlo e nemmeno chiunque violi un server. Non deteniamo alcuna chiave per i tuoi dati, il che significa che una nostra violazione non e una violazione per te. Non si tratta di affermare che Vaultaire sia l'unica scelta sicura. E un'affermazione sull'architettura: il modello che evita i fallimenti documentati e quello in cui il fornitore non detiene mai la tua chiave e non raccoglie mai i tuoi dati. Alcune altre app ottengono parti di questo correttamente, e le abbiamo nominate nel corso di questo audit. Il punto dell'audit e che ora puoi verificare tu stesso qualsiasi affermazione.
Letture correlate:
- Le app vault foto sono sicure? La versione breve
- Cosa significa davvero la crittografia AES-256
- La crittografia zero-knowledge, spiegata
- Cosa dicono davvero le privacy policy dell'archiviazione foto cloud
- Come la crittografia basata su pattern rende il tuo pattern la chiave
Fonti
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Domande frequenti
Le app vault foto sono davvero sicure?
Dipende interamente dall'app, e la maggior parte e piu debole di quanto appaia. Nel nostro audit di giugno 2026, 7 delle 12 app vault iOS piu installate hanno dichiarato di tracciarti, e solo 1 ha nominato un cifrario specifico nella sua scheda. Un decennio di ricerca ha ripetutamente trovato app che commercializzano la "crittografia" pur memorizzando i file in chiaro o dietro un'offuscazione banale. Quelle sicure nominano un cifrario reale, non richiedono un account e non detengono alcuna chiave per i tuoi dati.
Uno sviluppatore di app vault foto puo vedere le mie foto?
Se l'app archivia le tue foto nel proprio cloud e puo recuperare il tuo account quando dimentichi la password, allora si: lo sviluppatore detiene la chiave di crittografia e puo tecnicamente accedere alle tue foto, cosi come chiunque violi i server dello sviluppatore. Un'analisi indipendente ha rilevato che questo e il caso per Keepsafe. Le app zero-knowledge o solo locali non possono vedere le tue foto perche non detengono mai la chiave.
Private Photo Vault (Pic Safe) e davvero crittografato?
Il Cloud Vault opzionale di Private Photo Vault nomina AES-256, che e un cifrario reale. Ma l'app ha una storia documentata di debolezze: nessuna crittografia trovata nel 2014 (Zdziarski), violato in meno di 30 minuti nel 2015 (IOActive) e una chiave master statica e non ruotata trovata nel 2019 (forensicmike1). La sua attuale etichetta Privacy dell'App Store dichiara anche che ti traccia e collega le tue foto alla tua identita.
Le app vault foto usano davvero la crittografia, o solo un PIN?
Molte usano solo un PIN su una cartella nascosta, il che non e crittografia. Nascondere sposta un file in una posizione meno visibile; il file rimane leggibile da chiunque lo raggiunga tramite un backup o uno strumento forense. Uno studio peer-reviewed del 2022 su 20 app vault Android (Ruffin et al., ACM WPES) ha rilevato che solo 5 tentavano una vera crittografia dei file, e 15 erano completamente recuperabili con un semplice adb pull. La vera crittografia trasforma il file in testo cifrato che richiede una chiave.
Cosa succede alle mie foto se elimino un'app vault?
Se l'app nascondeva solo i file (senza crittografia), i file potrebbero rimanere sul dispositivo in una posizione accessibile o nei backup. Se l'app crittografava i file localmente e la elimini senza esportarli, il testo cifrato potrebbe diventare irrecuperabile perche la chiave e sparita. Se l'app usava l'archiviazione cloud, i file potrebbero persistere sui server del fornitore. Controlla la documentazione di esportazione ed eliminazione dell'app prima di disinstallare.
Gli strumenti forensi o la polizia possono aggirare il PIN di un vault foto?
La sola protezione tramite PIN offre poca resistenza agli strumenti di estrazione forense. Le ricerche del 2014, 2015, 2017 e 2022 hanno mostrato PIN di app vault aggirati in pochi minuti o file recuperati senza alcuna autenticazione. Il PIN a 4 cifre trovato nell'implementazione 2019 di Private Photo Vault e stato notato come banalmente attaccabile con forza bruta. La vera crittografia dei file con una funzione di derivazione della chiave robusta alza significativamente il livello; un semplice PIN non lo fa.
Keepsafe vende i miei dati?
La privacy policy di Keepsafe e l'unica nel nostro set di audit che afferma esplicitamente che alcune condivisioni di dati potrebbero essere classificate ai sensi della legge californiana come "vendita" o "condivisione" di informazioni personali. La policy fa anche riferimento a partner pubblicitari. Si tratta di una dichiarazione che le altre app del nostro set non hanno fatto. Se questo costituisce una vendita dipende dalla definizione legale applicata, ma la policy e la piu esplicita della categoria su questo punto.
Qual e la differenza tra nascondere le foto e crittografarle?
Nascondere sposta un file in un posto meno visibile sul dispositivo; il file sottostante e invariato e leggibile da chiunque abbia accesso all'archiviazione, inclusi gli strumenti di backup o il software forense. Crittografare trasforma il file in testo cifrato illeggibile senza la chiave corretta. Molte app vault nascondono solo. Uno studio accademico del 2022 (Ruffin et al.) ha rilevato che 15 delle 20 app vault Android popolari erano recuperabili con un comando adb pull di base, senza bisogno di decrittografia.
E sicuro abilitare il backup cloud in un'app vault foto?
Solo se il backup viene crittografato prima di lasciare il dispositivo e il fornitore non puo decrittografarlo. Se il fornitore puo recuperare i tuoi file quando perdi la password, il backup e leggibile dal fornitore ed esposto in qualsiasi violazione del server. L'incidente Firebase di Brain Craft del 2025 ha esposto email, password in chiaro e nomi di cartelle proprio perche il lato cloud non aveva protezione. Cerca un'architettura zero-knowledge con crittografia prima del caricamento.
Quale app vault foto non richiede un account o l'accesso a internet?
Diverse app funzionano completamente offline senza account. Nel nostro audit, due avevano l'etichetta "Nessun dato raccolto" di Apple: Safe Lock e Secret Photo Vault Lock Photos. Vaultaire non richiede account, nessun indirizzo email e nessuna connessione di rete per crittografare e archiviare i file. Non richiedere un account elimina completamente la superficie di attacco dell'archivio delle credenziali, che e esattamente la classe di esposizione dimostrata dall'incidente Firebase di Brain Craft del 2025.