사진 보관 앱은 안전한가? 2026년 보안 감사
대부분의 iOS 사진 보관 앱은 파일이 아닌 화면을 보호합니다. 2026년 6월 가장 많이 설치된 보관 앱 12개에 대한 감사에서 App Store 목록에서 특정 암호화 알고리즘을 명시한 앱은 단 하나뿐이었으며, 12개 중 7개가 귀하를 추적한다고 선언했습니다. 신뢰할 만한 앱은 실제 암호를 명시하고, 데이터에 대한 키를 보유하지 않으며, 아무것도 수집하지 않는 소수입니다.
사진 보관 앱이 일률적으로 안전하지는 않습니다. 2026년 6월 가장 많이 설치된 iOS 보관 앱 12개에 대한 감사에서 12개 중 7개가 앱과 웹사이트 전반에서 사용자를 추적한다고 선언했으며, 목록에서 특정 암호를 명시한 앱은 1개뿐이었고, 10년간의 독립 연구가 "암호화"를 마케팅하면서 파일을 평문으로 저장하거나 사소한 난독화 뒤에 저장하는 앱을 반복적으로 발견했습니다. 안전한 앱은 실제 암호를 명시하고, 계정이 필요 없으며, 데이터에 대한 키를 보유하지 않습니다.
감사한 내용과 테스트하지 않은 내용
2026년 6월 미국 App Store에서 스토어 순위와 평가 수량으로 순위가 매겨진 상위 사진 보관 및 사진 숨기기 앱의 앱 개인 정보 라벨, 공개된 개인 정보 처리 방침, App Store 설명을 수집했습니다. 각 앱을 실제 보안 모델에 따라 분류하고 10년간의 문서화된 보관 앱 실패 사례와 교차 검토하여 기본 또는 확인된 출처로 추적 가능한 사건만 유지했습니다.
두 가지 한계가 중요합니다. 첫째, App Store 개인 정보 라벨은 자체 보고 방식이며 Apple이 감사하지 않으므로 앱이 실제로 수집하는 것보다 적게 선언할 수 있습니다. 둘째, 이것은 라벨, 정책, 아키텍처 검토와 공개 사건 레지스트리입니다. 실시간 네트워크 캡처를 실행하지 않았으므로 직접 관찰하지 않은 트래픽에 대해서는 어떠한 주장도 하지 않습니다. 여기 있는 모든 내용은 이 페이지 하단에 나열된 출처에 대해 확인 가능합니다.
발견 1: "암호화"는 대개 단어일 뿐, 검증 가능한 사실이 아닙니다
이 카테고리는 "군사급 암호화"라는 문구로 운영됩니다. 그 자체로는 아무 의미가 없습니다. AES-256은 군사급이 없는 공개 표준이며, 이 문구는 사양처럼 들리기 때문에 살아남는 마케팅입니다. 실제로 중요한 것은 앱이 평가할 수 있는 알고리즘, 키 길이, 키 파생 방법을 명시하는지 여부입니다.
12개 앱 라벨 감사 전체에서 App Store 설명에 특정 암호를 명시한 앱은 정확히 하나였습니다. "AES"라고 명시한 Secret Photos KYMS입니다. 다른 모든 앱은 "군사급 암호화", "암호화된 스토리지", "제로 지식 아키텍처"라고 했거나 암호화를 전혀 명시하지 않았습니다. 8개 앱의 개발자 사이트와 정책을 더 자세히 살펴보면, 공식 자료 어디서든 실제 암호를 명시한 것은 세 곳뿐이었습니다. LockMyPix는 AES-CTR을, Private Photo Vault의 선택적 클라우드 보관소는 AES-256을, Calculator#은 20만 반복의 PBKDF2와 함께 AES-256을 공개합니다. 이 세 앱은 작업을 보여준다는 점에서 인정받을 만합니다.
대부분의 보관 목록이 흐리게 만드는 구분이 있습니다. 사진을 숨기는 것은 암호화하는 것이 아닙니다. 숨기기는 파일을 덜 보이는 곳으로 이동시킵니다. 암호화는 키 없이는 쓸모없는 암호문으로 변환합니다. 일반 파일 폴더를 잠그는 PIN 화면은 벽이 아닌 커튼입니다. 백업, 포렌식 도구, 또는 adb 명령을 통해 아래 파일에 접근하는 누구든 그냥 들어올 수 있습니다.
발견 2: 개인 정보 라벨은 마케팅보다 더 많은 것을 말합니다
Apple의 앱 개인 정보 라벨은 App Store에서 가장 솔직한 페이지입니다. 허위 기재는 정책 위반이기 때문입니다. 마케팅 문구와 실제 데이터 관행이 일치를 멈추는 곳이 바로 여기입니다. 2026년 6월 감사에서 12개 앱 중 7개가 "귀하를 추적하는 데 사용된 데이터"를 선언한다는 것을 발견했습니다. 이는 다른 회사의 앱과 웹사이트 전반에서 귀하를 추적하기 위해 공유되는 데이터에 대한 Apple의 용어입니다. 12개 중 2개만이 Apple의 "데이터 미수집" 라벨을 가지고 있습니다. 이는 스토어에서 가장 강력한 개인 정보 증명입니다. Safe Lock과 Secret Photo Vault Lock Photos입니다.
세트에서 가장 높은 평가를 받은 두 앱인 Private Photo Vault (Pic Safe)와 SV Private Photo Vault PRO는 모두 Legendary Software Labs에서 출판되었으며 합산 약 1,026,000개의 평가를 가지고 있습니다. 두 앱 모두 사용자를 추적하며, 자체 라벨에 따르면 사진, 동영상, 기기 식별자를 신원과 연결합니다. Best Secret Folder는 세트에서 가장 광범위한 "귀하와 연결된" 발자국을 가지고 있습니다. 위치, 이름, 이메일, 전화 등 전체 연락처 정보, 사진, 동영상, 오디오를 포함하면서 광고를 실행합니다. 사진을 신원과 연결하고 다른 앱 전반에서 추적하는 개인 사진 앱은 귀하가 다운로드한 목적과 다른 문제를 해결하고 있습니다.
감사의 나머지 앱들은 각자의 이야기를 전합니다. Private Photo Vault (Pic Safe)와 SV Private Photo Vault PRO는 목록에서 암호를 명시하지 않고 "암호화/복호화하는 비밀 값"이라는 문구만 사용합니다. Keepsafe는 암호를 명시하지 않고 암호화를 "군사급"으로 설명합니다. Privault는 "암호화된 스토리지"라고 합니다. HiddenVault는 "제로 지식 아키텍처"를 주장하지만 알고리즘을 명시하지 않습니다. Calculator#은 App Store 목록에서 암호를 명시하지 않습니다. Best Secret Folder와 Hide It Pro는 아무것도 명시하지 않습니다. KYMS만이 AES를 명시하고, Encamera만이 오픈 소스로 다른 종류의 검증 가능성을 제공합니다.
발견 3: 계정과 클라우드 백엔드는 두 번째 공격 표면입니다
로컬 파일 처리가 완벽하더라도 백엔드는 별개의 공격 표면이기 때문에 앱은 여전히 유출될 수 있습니다. 계정을 요구하고 자체 서버에 파일을 저장하는 앱은 검사할 수 없는 데이터베이스를 신뢰하도록 요청하는 것입니다.
Keepsafe는 이 구조적 선택의 가장 명확한 예입니다. 사용 전에 이메일 주소를 요구하고, 자체 서버에 콘텐츠를 저장하며, 독립적인 보안 분석에서 회사가 사용자 사진에 접근할 수 있는 능력을 유지한다는 것이 발견되었습니다. 개인 정보 처리 방침도 우리 세트에서 일부 데이터 공유가 캘리포니아 법에 따라 개인 정보 판매 또는 공유로 분류될 수 있다고 인정하는 유일한 것입니다. 이는 다른 앱들이 하지 않은 공개 사항이며, 누가 키를 보유하는지 알려줍니다. 공급업체가 암호화 키를 보유할 때 공급업체 침해는 귀하의 침해입니다. 이를 피하는 모델은 제로 지식 암호화로, 제공업체가 키를 보유하지 않기 때문에 데이터를 읽을 수 없습니다.
무엇이 잘못될 수 있는지의 실제 사례가 2025년에 도착했습니다. Brain Craft라는 개발자가 발행한 Photo Vault라는 별도의 앱이 Firebase 데이터베이스에 비밀번호 보호를 설정하지 않았습니다. 이 노출은 2025년 Cybernews가 보고하고 The Dead Pixels Society가 확인했습니다. 약 72,000건의 다운로드를 기록한 앱에서 사용자 이메일 주소, 평문 비밀번호, 파일 및 폴더 이름, 앱의 보안 노트 기능 내용이 노출되었습니다. 정확히 말하면, 이 Brain Craft 앱은 비슷한 이름에도 불구하고 Legendary Software Labs의 Private Photo Vault 또는 Pic Safe와 같은 제품이 아닙니다. 사진 자체는 데이터베이스에 없었지만, 계정을 공격하는 데 필요한 모든 것이 있었습니다. 여기에는 평문으로 저장된 비밀번호가 포함되어 있으며, 보관 앱은 읽을 수 있는 형태로 보유해서는 안 되며 더구나 노출해서도 안 됩니다.
발견 4: "개인" 앱 내부의 광고 SDK
읽은 8개의 개인 정보 처리 방침 중 7개가 제3자 광고를 언급했습니다. 두드러진 것은 NQ Vault로, Vault-Hide로도 배포되며, 정책에 앱에 내장된 6개의 광고 SDK가 나열되어 있습니다. AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin, Unity입니다. 광고 네트워크의 역할은 사용자 프로필을 구축하는 것입니다. 전제 전체가 개인 정보인 앱 안에 6개를 내장하는 것은 이 카테고리의 정의적 아이러니이며, 정책 텍스트에 명시되어 있지 우리의 추측이 아닙니다.
8개 앱 정책 검토의 더 광범위한 패턴: 8개 중 하나인 LockMyPix만이 핵심 모델에서 광고 없음으로 포지셔닝합니다. Private Photo Vault는 제3자 쿠키와 광고를 언급합니다. Privault는 AdMob과 Umeng 분석을 나열합니다. Best Secret Folder는 맞춤형 광고, Google Analytics, Firebase를 참조합니다. Hide It Pro는 제3자 광고 SDK를 참조합니다. 클라우드를 유지하지 않고, 계정이 필요 없으며, 암호를 명시하는 앱은 기본이 아닌 예외입니다.
10년간의 문서화된 실패 사례
이것은 새로운 일이 아닙니다. 암호화가 아닌 "암호화"의 패턴은 2014년부터 이름 있는 연구자와 동료 심사 연구에 의해 반복적으로 문서화되었습니다. 다음은 신뢰도와 함께 사건 레지스트리입니다. 일부는 다른 것보다 더 잘 출처가 있기 때문입니다.
2014년 9월, 포렌식 연구자 Jonathan Zdziarski는 당시 300만 명 이상의 사용자를 보고한 Private Photo Vault가 기본 iOS 스토리지를 넘어서는 암호화를 적용하지 않았음을 보여주었습니다. 사진은 약 5분 만에 평문으로 복구 가능했습니다. 이 사건은 zdziarski.com의 기본 출처에 대해 검증되었습니다.
2015년 4월, The Register와 Slate는 "암호화"를 마케팅하고 1,000만 건 이상의 다운로드를 가진 NQ Mobile Vault가 각 파일의 처음 128바이트에만 단일 바이트 XOR 연산을 적용했다고 보고했습니다. 이는 256개의 가능한 키와 모든 파일의 나머지 부분이 평문으로 남겨집니다. 이 사건은 검증되었습니다.
2015년 11월, IOActive 연구자 Michael Allen은 Private Photo Vault, "My Media"라는 앱, Keepsafe를 테스트하여 각각 30분 이내에 모두 침투했습니다. 방법에는 속성 목록 파일에 저장된 평문 PIN, 포트 5555에서 실행되는 인증되지 않은 웹 서버, 서버에서 평문으로 반환된 앨범 비밀번호가 포함되었습니다. 이 사건은 검증되었습니다.
2017년, Zhang, Baggili, Breitinger는 약 2억 2천만 건의 합산 다운로드를 가진 18개의 Android 보관 앱을 분석하는 Computers and Security (70권) 동료 심사 연구를 발표했습니다. 6개는 저장된 사진을 암호화하지 않았고, 7개는 평문으로 비밀번호를 저장했으며, 10개는 루트 액세스 없이 숨겨진 데이터를 노출했습니다. 연구는 형사 사건에서 증거를 복구하는 데 도움이 되었습니다. 66개의 이미지와 18개의 동영상. 이 연구는 검증되었습니다.
2019년 6월, forensicmike1이라는 연구자가 Private Photo Vault가 RNCryptor를 통해 AES 암호화를 추가했지만, 마스터 키가 iOS Keychain에 정적으로 저장되어 있었고 사용자가 PIN을 변경할 때 교체되지 않았음을 발견했습니다. 4자리 PIN으로 인해 키가 사소하게 무차별 대입 가능했습니다. 이 사건은 검증되었습니다.
2022년, Ruffin과 동료들은 각각 1,000만 건 이상의 다운로드를 가진 20개의 인기 Android 보관 앱을 분석하는 ACM WPES의 동료 심사 연구를 발표했습니다. 20개 중 5개만이 파일 암호화를 시도했습니다. 15개는 간단한 adb pull로 완전히 검색 가능했으며 7개는 PIN 또는 복구 이메일을 평문으로 저장했습니다. 이 연구는 검증되었습니다.
2025년 2월, Kaspersky는 SparkCat 캠페인을 보고했습니다. App Store와 Google Play 모두에서 발견된 악성 코드로, 기기 내 광학 문자 인식을 사용하여 사용자 사진 라이브러리에서 암호화폐 시드 문구와 비밀번호 스크린샷을 스캔한 다음 일치 항목을 유출했습니다. Apple과 Google은 앱을 제거했습니다. App Store 심사를 통과한 최초의 OCR 기반 사진 도용자였습니다. 이 사건은 검증되었습니다.
두 가지 추가 사건은 부분적인 검증을 가지고 있으며 그 경고와 함께 읽어야 합니다. 2021년 분석에서 Android의 계산기 스타일 보관 앱 패밀리가 모든 설치에서 단일 하드코딩된 AES-CBC 키를 공유하고 있다는 것이 발견되었습니다. 이는 하나의 알려진 키로 모든 사용자의 미디어가 복호화된다는 것을 의미합니다. 이것은 단일의 기술적으로 구체적인 연구자로부터 부분적으로 검증되었습니다. 별도로, Vault-Hide 앱은 2017년 전화 번호, IMEI 번호, 설치된 앱 목록 유출로 인도 전자정보기술부에 의해 표시되었으며, 이름을 바꿔 제거를 회피한 것으로 알려졌습니다. 이것은 Cybernews와 CPO Magazine의 2차 출처를 통해 부분적으로 검증되었습니다.
하나의 데이터 포인트가 부재로 주목할 만합니다. 어떤 소비자 사진 보관 앱에도 할당된 CVE를 찾지 못했습니다. 가장 가까운 공식 공개는 인증되지 않은 WiFi 서버를 가진 관련 없는 "Photo Vault" 제품에 대한 2018년 권고안으로, 중간 심각도 (CVSS 4.8)로 평가되었으며 CVE가 발행되지 않았습니다 (seclists.org Full Disclosure, 2018년 1월). 이 카테고리는 공식적으로 추적되지 않으며, 이는 이러한 실패의 대부분이 조정된 공개 프로세스 외부의 독립 연구자들에 의해 발견되었음을 의미합니다.
보관 앱을 실제로 평가하는 방법
아무것도 역공학할 필요가 없습니다. 다섯 가지 질문으로 대부분의 위험을 걸러낼 수 있습니다. 첫째: 암호를 명시하나요? "AES-256" 또는 "AES-GCM"은 확인할 수 있는 주장입니다. "군사급"은 아닙니다. 둘째: 계정이 필요한가요? 이메일과 비밀번호는 Brain Craft Firebase 사건이 보여준 것처럼 유출될 수 있는 자격 증명 저장소를 만듭니다. 셋째: 클라우드에 백업하는 경우 누가 키를 보유하나요? 공급업체가 비밀번호를 재설정하고 사진을 복구할 수 있다면 공급업체가 사진을 읽을 수 있으며 공급업체를 침해하는 누구든 마찬가지입니다.
넷째: 앱 개인 정보 라벨과 정책은 무엇을 말하나요? 앱 개인 정보 섹션을 여세요. 귀하를 추적하거나 사진을 신원과 연결한다면 믿으세요. 광고 SDK 공개 여부를 위해 정책을 읽으세요. 다섯째: 감사 가능한가요? "데이터 미수집", 키 파생 세부 정보가 포함된 명명된 암호, 오픈 소스 코드는 모두 앱이 검사받을 것을 예상한다는 신호입니다. 확인될 수 없는 앱은 귀하가 확인하지 않을 것이라는 것에 의존하고 있습니다.
이 그림에서 Vaultaire의 위치
우리는 위에 문서화된 특정 실패 클래스를 중심으로 Vaultaire를 구축했습니다. 따라서 마케팅이 아닌 이러한 기준으로 우리를 측정하는 것이 공정합니다. Vaultaire는 귀하가 그리는 5x5 패턴에서 AES-256-GCM 암호화 키를 파생합니다. 패턴이 키를 생성하며 저장되지 않으므로 유출될 비밀번호 파일이 없으며 서버에서 무차별 대입할 것이 없습니다. 계정이 없으며, 이는 이메일 주소도 없고 자격 증명 저장소도 없다는 것을 의미합니다. 이것이 바로 Brain Craft 사건에서 유출된 것입니다.
Vaultaire는 제로 지식입니다. 파일과 키는 읽을 수 있는 형태로 기기를 떠나지 않습니다. 선택적 iCloud 백업은 전화기를 떠나기 전에 암호화되므로 우리도 서버를 침해하는 누구도 읽을 수 없습니다. 우리는 귀하의 데이터에 대한 키를 보유하지 않으며, 이는 우리의 침해가 귀하의 침해가 아니라는 것을 의미합니다. 이것은 Vaultaire가 유일한 안전한 선택이라는 주장이 아닙니다. 아키텍처에 대한 주장입니다. 문서화된 실패를 피하는 모델은 제공업체가 키를 보유하지 않고 데이터를 수집하지 않는 것입니다. 다른 몇 가지 앱이 이것의 일부를 올바르게 처리하며, 우리는 이 감사 전반에서 그것들을 명시했습니다. 감사의 요점은 이제 귀하가 어떤 주장이든 스스로 확인할 수 있다는 것입니다.
관련 읽을거리:
- 사진 보관 앱은 안전한가? 간단한 버전
- AES-256 암호화가 실제로 의미하는 것
- 제로 지식 암호화 설명
- 클라우드 사진 스토리지 개인 정보 처리 방침이 실제로 말하는 것
- 패턴 기반 암호화가 패턴을 키로 만드는 방법
출처
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
자주 묻는 질문
사진 보관 앱은 실제로 안전한가요?
앱에 따라 완전히 다르며 대부분은 겉보기보다 약합니다. 2026년 6월 감사에서 가장 많이 설치된 iOS 보관 앱 12개 중 7개가 귀하를 추적한다고 선언했으며, 목록에서 특정 암호를 명시한 앱은 1개뿐이었습니다. 10년간의 연구가 "암호화"를 마케팅하면서 파일을 평문으로 저장하거나 사소한 난독화 뒤에 저장하는 앱을 반복적으로 발견했습니다. 안전한 앱은 실제 암호를 명시하고, 계정이 필요 없으며, 데이터에 대한 키를 보유하지 않습니다.
사진 보관 앱 개발자가 내 사진을 볼 수 있나요?
앱이 자체 클라우드에 사진을 저장하고 비밀번호를 잊었을 때 계정을 복구할 수 있다면, 그렇습니다. 개발자가 암호화 키를 보유하며 기술적으로 사진에 접근할 수 있고, 개발자의 서버를 침해하는 누구든 마찬가지입니다. 독립적인 분석에서 Keepsafe의 경우 이것이 해당된다고 발견했습니다. 제로 지식이거나 로컬 전용인 앱은 키를 보유하지 않기 때문에 사진을 볼 수 없습니다.
Private Photo Vault (Pic Safe)는 실제로 암호화되나요?
Private Photo Vault의 선택적 클라우드 보관소는 실제 암호인 AES-256을 명시합니다. 그러나 이 앱은 문서화된 취약점 이력이 있습니다. 2014년에 암호화 없음 (Zdziarski), 2015년에 30분 이내 침투 (IOActive), 2019년에 정적이고 교체되지 않는 마스터 키 (forensicmike1). 현재 App Store 개인 정보 라벨도 귀하를 추적하고 사진을 신원과 연결한다고 선언합니다.
사진 보관 앱이 실제로 암호화를 사용하나요, 아니면 그냥 PIN인가요?
많은 앱이 숨겨진 폴더 위에 PIN만 사용하며, 이것은 암호화가 아닙니다. 숨기기는 파일을 덜 보이는 위치로 이동시키며, 파일은 백업이나 포렌식 도구를 통해 접근하는 누구에게도 읽을 수 있는 상태로 남습니다. 20개의 Android 보관 앱에 대한 2022년 동료 심사 연구 (Ruffin et al., ACM WPES)에서 5개만 실제 파일 암호화를 시도했으며 15개는 간단한 adb pull로 완전히 복구 가능했습니다. 실제 암호화는 파일을 키가 필요한 암호문으로 변환합니다.
보관 앱을 삭제하면 내 사진은 어떻게 되나요?
앱이 파일을 숨기기만 했다면 (암호화 없음), 파일은 기기의 접근 가능한 위치나 백업에 남아 있을 수 있습니다. 앱이 로컬에서 파일을 암호화했고 내보내기 없이 앱을 삭제하면, 키가 사라졌기 때문에 암호문을 복구할 수 없게 될 수 있습니다. 앱이 클라우드 스토리지를 사용했다면, 파일은 공급업체의 서버에 남아 있을 수 있습니다. 제거하기 전에 앱의 내보내기 및 삭제 문서를 확인하세요.
포렌식 도구나 경찰이 사진 보관 앱 PIN을 우회할 수 있나요?
PIN만으로는 포렌식 추출 도구에 거의 저항이 없습니다. 2014년, 2015년, 2017년, 2022년의 연구에서 보관 앱 PIN이 분 단위로 우회되거나 인증 없이 파일이 복구되었음을 보여주었습니다. Private Photo Vault의 2019년 구현에서 발견된 4자리 PIN은 사소하게 무차별 대입 가능한 것으로 기록되었습니다. 강력한 키 파생 함수를 가진 실제 파일 암호화는 장벽을 상당히 높입니다. PIN 게이트만으로는 그렇지 않습니다.
Keepsafe는 내 데이터를 판매하나요?
Keepsafe의 개인 정보 처리 방침은 우리 감사 세트에서 일부 데이터 공유가 캘리포니아 법에 따라 개인 정보 "판매" 또는 "공유"로 분류될 수 있다고 명시적으로 밝힌 유일한 것입니다. 정책은 또한 광고 파트너를 참조합니다. 이것은 우리 세트의 다른 앱들이 하지 않은 공개 사항입니다. 이것이 판매에 해당하는지는 적용되는 법적 정의에 따라 다르지만, 정책은 이 점에서 카테고리에서 가장 명시적입니다.
사진을 숨기는 것과 암호화하는 것의 차이는 무엇인가요?
숨기기는 기기에서 덜 보이는 곳으로 파일을 이동시키며, 기본 파일은 변경되지 않고 백업 도구나 포렌식 소프트웨어를 포함하여 스토리지에 접근할 수 있는 누구에게도 읽을 수 있습니다. 암호화는 파일을 올바른 키 없이는 읽을 수 없는 암호문으로 변환합니다. 많은 보관 앱이 숨기기만 합니다. 2022년 학술 연구 (Ruffin et al.)에서 인기 있는 20개의 Android 보관 앱 중 15개가 복호화 없이 기본 adb pull로 검색 가능했음을 발견했습니다.
사진 보관 앱에서 클라우드 백업을 활성화하는 것이 안전한가요?
기기를 떠나기 전에 백업이 암호화되고 제공업체가 복호화할 수 없는 경우에만 안전합니다. 공급업체가 비밀번호를 분실했을 때 파일을 복구할 수 있다면 백업은 공급업체가 읽을 수 있으며 서버 침해 시 노출됩니다. 2025년 Brain Craft Firebase 사건은 이메일, 평문 비밀번호, 폴더 이름을 정확히 클라우드 측에 보호가 없었기 때문에 노출했습니다. 업로드 전 암호화가 있는 제로 지식 아키텍처를 찾아보세요.
계정이나 인터넷 액세스가 필요 없는 사진 보관 앱은 어떤 것인가요?
여러 앱이 계정 없이 완전히 오프라인으로 작동합니다. 감사에서 두 앱이 Apple의 "데이터 미수집" 라벨을 가졌습니다. Safe Lock과 Secret Photo Vault Lock Photos입니다. Vaultaire는 계정, 이메일 주소, 파일 암호화 및 저장을 위한 네트워크 연결이 필요하지 않습니다. 계정이 필요 없으면 자격 증명 저장소 공격 표면이 완전히 없어지며, 이것이 바로 2025년 Brain Craft Firebase 사건이 보여준 노출 클래스입니다.