Zijn fotokluis-apps veilig? Een beveiligingsaudit 2026
De meeste iOS-fotokluis-apps beveiligen het scherm, niet de bestanden. In onze audit van juni 2026 van 12 van de meest geïnstalleerde kluis-apps noemde slechts één een specifiek versleutelingsalgoritme in de App Store-vermelding, en 7 van de 12 gaven aan dat ze u volgen. De apps die het vertrouwen verdienen, zijn de minderheid die een echt algoritme noemen, geen sleutel tot uw gegevens bezitten en niets verzamelen.
Fotokluis-apps zijn niet allemaal even veilig. In onze audit van juni 2026 van 12 van de meest geïnstalleerde iOS-kluis-apps gaven 7 van de 12 aan dat ze gebruikers volgen via apps en websites, noemde slechts 1 een specifiek algoritme in de vermelding, en heeft een decennium aan onafhankelijk onderzoek herhaaldelijk apps gevonden die "encryptie" vermarkten terwijl bestanden in leesbare tekst of achter triviale verduistering worden opgeslagen. De veilige apps noemen een echt algoritme, vereisen geen account en bezitten geen sleutel tot uw gegevens.
Wat we hebben geauditeerd en wat we niet hebben getest
We hebben het App Privacy-label, het gepubliceerde privacybeleid en de App Store-beschrijving opgehaald voor de beste foto-kluis- en foto-verberg-apps in de Amerikaanse App Store in juni 2026, gerangschikt op winkelpositie en beoordelingsvolume. We hebben elke app ingedeeld op basis van het werkelijke beveiligingsmodel en een decennium aan gedocumenteerde kluis-app-fouten gecheckt, waarbij alleen incidenten werden bewaard die terug te voeren zijn op een primaire of gecorroboreerde bron.
Twee beperkingen zijn belangrijk. Ten eerste zijn App Store-privacylabels zelf-gerapporteerd; Apple controleert ze niet, dus een app kan minder aangeven dan wat daadwerkelijk wordt verzameld. Ten tweede is dit een label-, beleid- en architectuurreview plus een openbaar incidentregister. We hebben geen live netwerkverkeer vastgelegd, dus we doen geen uitspraken over verkeer dat we niet persoonlijk hebben waargenomen. Alles hier is verifieerbaar aan de hand van de bronnen onderaan deze pagina.
Bevinding 1: "Encryptie" is meestal een woord, geen verifieerbaar feit
De categorie draait op de zin "militaire encryptie". Die betekent op zichzelf niets. AES-256 is een openbare standaard zonder militaire graad; de zin is marketing die overleeft omdat het op een specificatie lijkt. Wat er werkelijk toe doet is of een app een algoritme, een sleutellengte en een sleutelafleiding-methode noemt die je kunt beoordelen.
Van alle 12 app-labels noemde precies één app een specifiek algoritme in de App Store-beschrijving: Secret Photos KYMS, dat "AES" vermeldt. Elke andere app zei "militaire encryptie", "versleutelde opslag", "Zero-Knowledge architectuur" of noemde helemaal geen encryptie. Bij nader onderzoek van de sites en het beleid van acht ontwikkelaars noemden slechts drie ergens in hun officiële materialen een echt algoritme: LockMyPix noemt AES-CTR, de optionele cloudkluis van Private Photo Vault noemt AES-256, en Calculator# vermeldt AES-256 met PBKDF2 bij 200.000 iteraties. Die drie verdienen credit voor het tonen van hun werk.
Er is een onderscheid dat de meeste kluisvermeldingen verdoezelen: een foto verbergen is niet hetzelfde als het versleutelen. Verbergen verplaatst een bestand naar een minder zichtbare locatie. Versleutelen zet het om in cijfertekst die zonder een sleutel nutteloos is. Een PIN-scherm dat een map met gewone bestanden afsluit, is een gordijn, geen muur. Iedereen die de onderliggende bestanden bereikt via een back-up, een forensisch hulpmiddel of een adb-opdracht komt er zo in.
Bevinding 2: De privacylabels zeggen meer dan de marketing
De App Privacy-labels van Apple zijn de meest eerlijke pagina in de App Store, omdat liegen erop een beleidsovertreding is. Dit is waar de marketingtekst en de feitelijke datapraktijken ophouden overeen te stemmen. Onze audit van juni 2026 vond dat 7 van de 12 apps "Gegevens gebruikt om u te volgen" aangeven, de Apple-term voor gegevens die gedeeld worden om u te volgen via apps en websites van andere bedrijven. Slechts 2 van de 12 dragen het label "Geen gegevens verzameld" van Apple, de sterkste privacyverklaring in de store: Safe Lock en Secret Photo Vault Lock Photos.
De twee best beoordeelde apps in de set, Private Photo Vault (Pic Safe) en SV Private Photo Vault PRO, zijn beide gepubliceerd door Legendary Software Labs en hebben samen ongeveer 1,026 miljoen gecombineerde beoordelingen. Beide volgen gebruikers en, volgens hun eigen labels, koppelen ze uw foto's, video's en apparaat-ID's aan uw identiteit. Best Secret Folder heeft de breedste "aan u gekoppeld"-voetafdruk in de set: locatie, volledige contactgegevens inclusief naam, e-mail en telefoon, en uw foto's, video en audio, terwijl er ook advertenties worden weergegeven. Een privéfoto-app die uw foto's aan uw identiteit koppelt en u via andere apps volgt, lost een ander probleem op dan het probleem waarvoor u het hebt gedownload.
De overige apps in de audit vertellen hun eigen verhaal. Private Photo Vault (Pic Safe) en SV Private Photo Vault PRO noemen geen algoritme in hun vermeldingen en gebruiken alleen de zin "geheime waarde om te versleutelen/ontsleutelen". Keepsafe beschrijft de versleuteling als "militaire graad" zonder een algoritme te noemen. Privault zegt "versleutelde opslag". HiddenVault beweert "Zero-Knowledge architectuur" maar noemt geen algoritme. Calculator# noemt geen algoritme in de App Store-vermelding. Best Secret Folder en Hide It Pro noemen helemaal niets. Alleen KYMS noemt AES, en alleen Encamera is open source, wat een andere soort verifieerbaarheid biedt.
Bevinding 3: Een account en een cloudbackend zijn een tweede aanvalsoppervlak
De lokale bestandsverwerking kan vlekkeloos zijn en de app kan toch lekken, omdat de backend een apart aanvalsoppervlak is. Apps die een account vereisen en uw bestanden op hun eigen servers opslaan, vragen u een database te vertrouwen die u niet kunt inspecteren.
Keepsafe is het duidelijkste voorbeeld van deze structurele keuze. Het vereist een e-mailadres voordat u het kunt gebruiken, slaat inhoud op op eigen servers, en een onafhankelijke beveiligingsanalyse vond dat het bedrijf de mogelijkheid behoudt om toegang te krijgen tot gebruikersfoto's. Het privacybeleid is ook het enige in onze set dat toegeeft dat sommige gegevensdeling mogelijk onder de Californische wet valt als het verkopen of delen van persoonlijke informatie. Dat is een openbaarmaking die de anderen niet maakten, en het vertelt u wie de sleutel beheert. Wanneer een leverancier de versleutelingssleutel beheert, is een inbreuk op de leverancier een inbreuk op u. Het model dat dit vermijdt is zero-knowledge encryptie, waarbij de aanbieder uw gegevens niet kan lezen omdat hij nooit de sleutel bezit.
Het voorbeeld van wat er misgaat, diende zich aan in 2025. Een afzonderlijke app genaamd Photo Vault, gepubliceerd door de ontwikkelaar Brain Craft, liet zijn Firebase-database zonder wachtwoordbeveiliging. De blootstelling werd gemeld door Cybernews in 2025 en bevestigd door The Dead Pixels Society. Het stelde e-mailadressen van gebruikers, wachtwoorden in leesbare tekst, bestands- en mapnamen en de inhoud van de beveiligde notities van de app bloot, voor een app met ongeveer 72.000 downloads. Ter verduidelijking: deze Brain Craft-app is niet hetzelfde product als Private Photo Vault of Pic Safe van Legendary Software Labs, ondanks de gelijkende naam. De foto's zelf stonden niet in de database, maar alles wat nodig was om de accounts aan te vallen was aanwezig, inclusief wachtwoorden opgeslagen in leesbare tekst, wat een kluis-app nooit in leesbare vorm zou mogen bezitten, laat staan blootleggen.
Bevinding 4: De advertentie-SDK in de "privé"-app
Zeven van de acht privacybeleidsregels die we lazen, verwezen naar advertenties van derden. De opvallendste is NQ Vault, ook gedistribueerd als Vault-Hide, waarvan het beleid zes geïntegreerde advertentie-SDK's vermeldt: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin en Unity. De taak van een advertentienetwerk is het opbouwen van een profiel van de gebruiker. Zes van hen inbedden in een app waarvan het hele idee privacy is, is de karakteriserende ironie van de categorie, en het staat in de beleidstekst, niet in onze speculatie.
Het bredere patroon van de acht-app beleidsreview: slechts één van de acht, LockMyPix, positioneert zichzelf als advertentievrij in zijn kernmodel. Private Photo Vault noemt cookies van derden en advertenties. Privault vermeldt AdMob en Umeng-analyses. Best Secret Folder verwijst naar gepersonaliseerde advertenties, Google Analytics en Firebase. Hide It Pro verwijst naar een advertentie-SDK van derden. De apps die geen cloud bewaren, geen account vereisen en een algoritme noemen, zijn de uitzondering, niet de standaard.
Een decennium aan gedocumenteerde mislukkingen
Dit is niet nieuw. Het patroon van "encryptie" die geen encryptie is, is herhaaldelijk gedocumenteerd sinds 2014, door genoemde onderzoekers en peer-reviewed studies. Hieronder volgt het incidentenregister met betrouwbaarheidsniveaus, omdat sommige beter gedocumenteerd zijn dan andere.
In september 2014 toonde forensisch onderzoeker Jonathan Zdziarski aan dat Private Photo Vault, met toen meer dan 3 miljoen gebruikers, geen versleuteling toepaste buiten de standaard iOS-opslag. Foto's waren in leesbare tekst herstelbaar in ongeveer vijf minuten. Dit incident is geverifieerd aan de hand van een primaire bron op zdziarski.com.
In april 2015 rapporteerden The Register en Slate dat NQ Mobile Vault, dat "encryptie" vermarkte en meer dan 10 miljoen downloads had, slechts een single-byte XOR-bewerking op de eerste 128 bytes van elk bestand toepaste. Dat laat 256 mogelijke sleutels en de rest van elk bestand in leesbare tekst. Dit incident is geverifieerd.
In november 2015 testte IOActive-onderzoeker Michael Allen Private Photo Vault, een app genaamd "My Media" en Keepsafe, en brak in minder dan 30 minuten in alle drie in. Methoden waren onder meer wachtwoorden in leesbare tekst opgeslagen in property-list-bestanden, een niet-geverifieerde webserver op poort 5555 en albumwachtwoorden die in leesbare tekst van de server werden geretourneerd. Dit incident is geverifieerd.
In 2017 publiceerden Zhang, Baggili en Breitinger een peer-reviewed studie in Computers and Security (volume 70) waarbij 18 Android-kluis-apps met circa 220 miljoen gecombineerde downloads werden geanalyseerd. Zes versleutelden opgeslagen foto's niet, 7 sloegen wachtwoorden in leesbare tekst op, en 10 stelden verborgen gegevens bloot zonder root-toegang. Het onderzoek hielp bewijs te herstellen in een strafzaak: 66 afbeeldingen en 18 video's. Deze studie is geverifieerd.
In juni 2019 ontdekte een onderzoeker die publiceerde als forensicmike1 dat Private Photo Vault AES-versleuteling via RNCryptor had toegevoegd, maar dat de hoofdsleutel statisch was opgeslagen in de iOS Keychain en nooit werd vernieuwd wanneer de gebruiker de PIN wijzigde. Een 4-cijferige PIN maakte de sleutel triviaal te bruteforcen. Dit incident is geverifieerd.
In 2022 publiceerden Ruffin en collega's een peer-reviewed studie op ACM WPES waarbij 20 populaire Android-kluis-apps met meer dan 10 miljoen downloads elk werden geanalyseerd. Slechts 5 van de 20 probeerden bestandsversleuteling. 15 waren volledig herstelbaar met een eenvoudige adb pull, en 7 sloegen PIN's of herstel-e-mails op in leesbare tekst. Deze studie is geverifieerd.
In februari 2025 rapporteerde Kaspersky de SparkCat-campagne: malware gevonden in apps op zowel de App Store als Google Play die optische tekenherkenning op het apparaat gebruikte om de fotobibliotheken van gebruikers te scannen op cryptovaluta-zinnen en schermafbeeldingen van wachtwoorden, waarna de overeenkomsten werden geëxfiltreerd. Apple en Google verwijderden de apps. Het was de eerste op OCR gebaseerde fotodief die bekend is om App Store-beoordeling te passeren. Dit incident is geverifieerd.
Twee aanvullende incidenten hebben gedeeltelijke verificatie en moeten met dat voorbehoud worden gelezen. Een analyse uit 2021 vond een familie van calculator-stijl kluis-apps op Android die een enkele hardgecodeerde AES-CBC-sleutel deelden over alle installaties, wat betekent dat één bekende sleutel de media van elke gebruiker ontsleutelde. Dit is gedeeltelijk geverifieerd, van een enkele technisch specifieke onderzoeker. Afzonderlijk werd de Vault-Hide-app in 2017 door het Indiase ministerie van Elektronica en Informatietechnologie gemarkeerd voor het exfiltreren van telefoonnummers, IMEI-nummers en lijsten van geïnstalleerde apps, en vermoedelijk ontliep het verwijdering door zichzelf te hernoemen. Dit is gedeeltelijk geverifieerd via secundaire bronnen van Cybernews en CPO Magazine.
Eén datapunt is opvallend door zijn afwezigheid: we vonden geen CVE toegewezen aan een consumentenfotokluis-app. De dichtstbijzijnde formele bekendmaking is een advies uit 2018 over een niet-gerelateerd "Photo Vault"-product met een niet-geverifieerde WiFi-server, beoordeeld als gemiddelde ernst (CVSS 4.8), zonder uitgifte van een CVE (seclists.org Full Disclosure, januari 2018). De categorie wordt niet formeel bijgehouden, wat betekent dat de meeste van deze mislukkingen werden ontdekt door onafhankelijke onderzoekers buiten elk gecoördineerd openbaarmakingsproces.
Hoe u een kluis-app werkelijk beoordeelt
U hoeft niets te reverse-engineeren. Vijf vragen filteren het meeste risico. Ten eerste: noemt het een algoritme? "AES-256" of "AES-GCM" is een claim die u kunt controleren. "Militaire graad" niet. Ten tweede: is een account vereist? Een e-mail en wachtwoord creëren een opslagplaats voor inloggegevens die kan lekken, zoals het Brain Craft Firebase-incident aantoonde. Ten derde: als het back-upt naar de cloud, wie beheert dan de sleutel? Als de leverancier uw wachtwoord kan resetten en uw foto's kan herstellen, kan de leverancier uw foto's lezen, en iedereen die de leverancier aanvalt ook.
Ten vierde: wat zeggen het App Privacy-label en het beleid? Open het App Privacy-gedeelte. Als het u volgt of uw foto's aan uw identiteit koppelt, geloof het dan. Lees het beleid op vermeldingen van advertentie-SDK's. Ten vijfde: is het controleerbaar? "Geen gegevens verzameld", benoemde algoritmen met details over sleutelafleiding en open-sourcecode zijn allemaal signalen dat een app verwacht te worden onderzocht. Apps die niet te controleren zijn, vertrouwen erop dat u niet controleert.
Waar Vaultaire past in dit beeld
We hebben Vaultaire gebouwd rondom de specifieke foutklassen die hierboven zijn gedocumenteerd, dus het is eerlijk om ons hieraan te meten in plaats van aan marketing. Vaultaire leidt uw AES-256-GCM-versleutelingssleutel af van een 5-bij-5 patroon dat u tekent; het patroon genereert de sleutel en wordt nooit opgeslagen, zodat er geen wachtwoordbestand is dat kan lekken en niets op een server dat bruteforce aangevallen kan worden. Er is geen account, wat betekent geen e-mailadres en geen opslagplaats voor inloggegevens. Dat is precies wat er uitlekte bij het Brain Craft-incident.
Vaultaire is zero-knowledge: uw bestanden en sleutels verlaten het apparaat nooit in leesbare vorm. De optionele iCloud-back-up is versleuteld voordat die uw telefoon verlaat, zodat wij het niet kunnen lezen en niemand die een server aanvalt dat ook niet kan. We bezitten geen sleutel tot uw gegevens, wat betekent dat een inbreuk op ons geen inbreuk op u is. Dat is niet de bewering dat Vaultaire de enige veilige keuze is. Het is een bewering over architectuur: het model dat de gedocumenteerde mislukkingen vermijdt, is er een waarbij de aanbieder nooit uw sleutel beheert en nooit uw gegevens verzamelt. Een paar andere apps doen delen hiervan goed, en we hebben ze door de hele audit heen benoemd. Het punt van de audit is dat u nu elke claim zelf kunt controleren.
Gerelateerd:
- Zijn fotokluis-apps veilig? De korte versie
- Wat AES-256-versleuteling werkelijk betekent
- Zero-knowledge encryptie uitgelegd
- Wat privacybeleid voor cloudopslag van foto's echt zegt
- Hoe op patroon gebaseerde versleuteling uw patroon de sleutel maakt
Bronnen
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Veelgestelde vragen
Zijn fotokluis-apps echt veilig?
Het hangt volledig af van de app, en de meeste zijn zwakker dan ze lijken. In onze audit van juni 2026 gaven 7 van de 12 meest geïnstalleerde iOS-kluis-apps aan dat ze u volgen, en slechts 1 noemde een specifiek algoritme in de vermelding. Een decennium onderzoek heeft herhaaldelijk apps gevonden die "encryptie" vermarken terwijl bestanden in leesbare tekst of achter triviale verduistering worden opgeslagen. De veilige apps noemen een echt algoritme, vereisen geen account en bezitten geen sleutel tot uw gegevens.
Kan een ontwikkelaar van een fotokluis-app mijn foto's zien?
Als de app uw foto's in zijn eigen cloud opslaat en uw account kan herstellen wanneer u uw wachtwoord vergeet, dan ja: de ontwikkelaar beheert de versleutelingssleutel en kan technisch toegang krijgen tot uw foto's, net als iedereen die de servers van de ontwikkelaar aanvalt. Een onafhankelijke analyse vond dat dit het geval was voor Keepsafe. Apps die zero-knowledge of alleen lokaal zijn, kunnen uw foto's niet zien omdat ze nooit de sleutel bezitten.
Is Private Photo Vault (Pic Safe) echt versleuteld?
De optionele Cloud Vault van Private Photo Vault noemt AES-256, wat een echt algoritme is. Maar de app heeft een gedocumenteerde geschiedenis van zwakheden: geen versleuteling gevonden in 2014 (Zdziarski), ingebroken in minder dan 30 minuten in 2015 (IOActive), en een statische, niet-roterende hoofdsleutel gevonden in 2019 (forensicmike1). Het huidige App Store-privacylabel verklaart ook dat het u volgt en uw foto's aan uw identiteit koppelt.
Gebruiken fotokluis-apps echt encryptie, of alleen een PIN?
Velen gebruiken alleen een PIN over een verborgen map, wat geen encryptie is. Verbergen verplaatst een bestand naar een minder zichtbare locatie; het bestand blijft leesbaar voor iedereen die het bereikt via een back-up of forensisch hulpmiddel. Een peer-reviewed studie uit 2022 van 20 Android-kluis-apps (Ruffin et al., ACM WPES) vond dat slechts 5 echte bestandsversleuteling probeerden, en 15 volledig herstelbaar waren met een eenvoudige adb pull. Echte versleuteling zet het bestand om in cijfertekst die een sleutel vereist.
Wat gebeurt er met mijn foto's als ik een kluis-app verwijder?
Als de app de bestanden alleen heeft verborgen (geen versleuteling), kunnen de bestanden op het apparaat achterblijven op een toegankelijke locatie of in back-ups. Als de app bestanden lokaal heeft versleuteld en u de app verwijdert zonder te exporteren, kan de cijfertekst onherstelbaar worden omdat de sleutel verdwenen is. Als de app cloudopslag gebruikte, kunnen de bestanden op de servers van de leverancier blijven. Controleer de documentatie voor exporteren en verwijderen voordat u de app verwijdert.
Kunnen forensische tools of de politie een PIN van een fotokluis-app omzeilen?
Alleen PIN-beveiliging biedt weinig weerstand tegen forensische extractietools. Onderzoek uit 2014, 2015, 2017 en 2022 toonde aan dat kluis-app-PIN's in minuten werden omzeild of bestanden werden hersteld zonder enige authenticatie. Een 4-cijferige PIN in de implementatie van Private Photo Vault in 2019 werd genoteerd als triviaal te bruteforcen. Echte bestandsversleuteling met een sterke sleutelafleiding-functie verhoogt de drempel aanzienlijk; een PIN-gate alleen doet dat niet.
Verkoopt Keepsafe mijn gegevens?
Het privacybeleid van Keepsafe is het enige in onze auditset dat expliciet stelt dat sommige gegevensdeling onder de Californische wet kan worden geclassificeerd als het "verkopen" of "delen" van persoonlijke informatie. Het beleid verwijst ook naar advertentiepartners. Dat is een openbaarmaking die de andere apps in onze set niet maakten. Of dat een verkoop is, hangt af van de juridische definitie die wordt toegepast, maar het beleid is het meest expliciete in de categorie op dit punt.
Wat is het verschil tussen foto's verbergen en ze versleutelen?
Verbergen verplaatst een bestand naar een minder zichtbare locatie op het apparaat; het onderliggende bestand is ongewijzigd en leesbaar voor iedereen met toegang tot de opslag, inclusief back-uptools of forensische software. Versleutelen zet het bestand om in cijfertekst die zonder de juiste sleutel onleesbaar is. Veel kluis-apps verbergen alleen. Een academische studie uit 2022 (Ruffin et al.) vond dat 15 van de 20 populaire Android-kluis-apps herstelbaar waren met een eenvoudige adb pull, zonder ontsleuteling.
Is het veilig om cloudback-up in te schakelen in een fotokluis-app?
Alleen als de back-up is versleuteld voordat die uw apparaat verlaat en de aanbieder het niet kan ontsleutelen. Als de leverancier uw bestanden kan herstellen wanneer u uw wachtwoord verliest, is de back-up leesbaar voor de leverancier en blootgesteld bij elke serverinbreuk. Het Brain Craft Firebase-incident van 2025 stelde precies e-mails, wachtwoorden in leesbare tekst en mapnamen bloot omdat de cloudkant geen bescherming had. Zoek naar zero-knowledge-architectuur met versleuteling voor het uploaden.
Welke fotokluis-app vereist geen account of internettoegang?
Verschillende apps werken volledig offline zonder account. In onze audit droegen twee apps het label "Geen gegevens verzameld" van Apple: Safe Lock en Secret Photo Vault Lock Photos. Vaultaire vereist geen account, geen e-mailadres en geen netwerkverbinding om bestanden te versleutelen en op te slaan. Geen account vereisen elimineert het aanvalsoppervlak van de inloggegevensopslag volledig, wat precies de klasse van blootstelling is die het Brain Craft Firebase-incident van 2025 demonstreerde.