Czy aplikacje do przechowywania zdjęć są bezpieczne? Audyt bezpieczeństwa 2026
Większość aplikacji sejfowych na iOS chroni ekran, nie pliki. W naszym audycie z czerwca 2026 roku obejmującym 12 najczęściej instalowanych aplikacji sejfowych tylko jedna podała konkretny algorytm szyfrowania w swoim wpisie w App Store, a 7 z 12 zadeklarowało śledzenie użytkowników. Aplikacje warte zaufania to mniejszość, która podaje prawdziwy algorytm, nie posiada klucza do Twoich danych i nic nie zbiera.
Aplikacje sejfowe na zdjęcia nie są jednolicie bezpieczne. W naszym audycie z czerwca 2026 roku obejmującym 12 najczęściej instalowanych aplikacji sejfowych na iOS 7 z 12 zadeklarowało śledzenie użytkowników w różnych aplikacjach i serwisach, tylko 1 podała konkretny algorytm w swoim wpisie, a dekada niezależnych badań wielokrotnie wykrywała aplikacje reklamujące "szyfrowanie" przy jednoczesnym przechowywaniu plików w formie zwykłego tekstu lub za prostą obfuskacją. Bezpieczne aplikacje podają prawdziwy algorytm, nie wymagają konta i nie posiadają klucza do Twoich danych.
Co sprawdzaliśmy, a czego nie testowaliśmy
Pobieraliśmy etykietę App Privacy, opublikowaną politykę prywatności i opis z App Store dla czołowych aplikacji do przechowywania i ukrywania zdjęć w amerykańskim App Store w czerwcu 2026 roku, według pozycji w sklepie i liczby ocen. Każdą aplikację klasyfikowaliśmy według jej faktycznego modelu bezpieczeństwa i porównywaliśmy z dekadą udokumentowanych awarii aplikacji sejfowych, zachowując tylko incydenty możliwe do powiązania z pierwotnym lub potwierdzonym źródłem.
Istnieją dwa ważne ograniczenia. Po pierwsze, etykiety prywatności w App Store są wypełniane samodzielnie; Apple ich nie weryfikuje, więc aplikacja może zadeklarować mniej niż faktycznie zbiera. Po drugie, jest to przegląd etykiet, polityk i architektury wraz z publicznym rejestrem incydentów. Nie prowadziliśmy na żywo przechwytywania ruchu sieciowego, więc nie rościmy sobie prawa do żadnych twierdzeń dotyczących ruchu, którego osobiście nie obserwowaliśmy. Wszystko tutaj można zweryfikować na podstawie źródeł wymienionych na dole tej strony.
Odkrycie 1: "Szyfrowanie" to zazwyczaj słowo, nie weryfikowalny fakt
Cała kategoria opiera się na sformułowaniu "szyfrowanie klasy wojskowej". Samo w sobie nic nie znaczy. AES-256 to publiczny standard bez żadnego wymiaru wojskowego; to sformułowanie jest chwytem marketingowym, który przetrwał, bo brzmi jak specyfikacja. Liczy się to, czy aplikacja podaje algorytm, długość klucza i metodę wyprowadzania klucza, które można ocenić.
Wśród wszystkich 12 etykiet aplikacji dokładnie jedna podała konkretny algorytm w opisie w App Store: Secret Photos KYMS, która wspomina o "AES". Każda inna aplikacja twierdziła albo "szyfrowanie klasy wojskowej", "zaszyfrowane przechowywanie", "architektura Zero-Knowledge", albo w ogóle nie wspominała o szyfrowaniu. Analizując głębiej strony i polityki ośmiu deweloperów, tylko trzy podały gdziekolwiek w swoich oficjalnych materiałach prawdziwy algorytm: LockMyPix podaje AES-CTR, opcjonalny sejf w chmurze Private Photo Vault podaje AES-256, a Calculator# ujawnia AES-256 z PBKDF2 przy 200 000 iteracjach. Te trzy zasługują na uznanie za pokazanie swojej pracy.
Istnieje rozróżnienie, które większość wpisów sejfowych zaciera: ukrywanie zdjęcia to nie to samo, co jego szyfrowanie. Ukrywanie przenosi plik w mniej widoczne miejsce. Szyfrowanie przekształca go w zaszyfrowany tekst, który jest bezużyteczny bez klucza. Ekran PIN blokujący folder ze zwykłymi plikami to zasłona, nie mur. Każdy, kto dotrze do plików poniżej przez kopię zapasową, narzędzie kryminalistyczne lub polecenie adb, po prostu wejdzie.
Odkrycie 2: Etykiety prywatności mówią więcej niż marketing
Etykiety App Privacy firmy Apple to najbardziej uczciwa strona w App Store, ponieważ ich fałszowanie stanowi naruszenie zasad. To tutaj tekst marketingowy i rzeczywiste praktyki dotyczące danych przestają się zgadzać. Nasz audyt z czerwca 2026 roku wykazał, że 7 z 12 aplikacji deklaruje "Dane używane do śledzenia" - to termin Apple'a oznaczający dane udostępniane w celu śledzenia Cię w aplikacjach i na stronach internetowych innych firm. Tylko 2 z 12 nosi etykietę Apple "Dane nie są zbierane", czyli najmocniejsze poświadczenie prywatności w sklepie: Safe Lock i Secret Photo Vault Lock Photos.
Dwie najwyżej oceniane aplikacje w zestawie, Private Photo Vault (Pic Safe) i SV Private Photo Vault PRO, są obie wydane przez Legendary Software Labs i łącznie mają około 1,026 miliona ocen. Obie śledzą użytkowników i, według własnych etykiet, powiązują Twoje zdjęcia, filmy i identyfikatory urządzenia z Twoją tożsamością. Best Secret Folder ma najszerszy ślad danych "powiązanych z Tobą" w zestawie: lokalizacja, pełne dane kontaktowe w tym imię, e-mail i telefon, a także Twoje zdjęcia, filmy i audio - a przy tym wyświetla reklamy. Aplikacja do prywatnych zdjęć, która wiąże Twoje zdjęcia z Twoją tożsamością i śledzi Cię w innych aplikacjach, rozwiązuje inny problem niż ten, dla którego ją pobrałeś.
Pozostałe aplikacje w audycie opowiadają własną historię. Private Photo Vault (Pic Safe) i SV Private Photo Vault PRO nie podają algorytmu w swoich wpisach, używając jedynie sformułowania "tajna wartość do szyfrowania/deszyfrowania". Keepsafe opisuje szyfrowanie jako "wojskowej klasy" bez podania algorytmu. Privault mówi o "zaszyfrowanym przechowywaniu". HiddenVault twierdzi o "architekturze Zero-Knowledge", ale nie podaje żadnego algorytmu. Calculator# nie wymienia algorytmu w wpisie App Store. Best Secret Folder i Hide It Pro nie podają niczego. Tylko KYMS wymienia AES, a tylko Encamera jest open source, co zapewnia inny rodzaj weryfikowalności.
Odkrycie 3: Konto i zaplecze w chmurze to druga powierzchnia ataku
Obsługa plików lokalnych może być perfekcyjna, a aplikacja nadal może przeciekać, ponieważ zaplecze to osobna powierzchnia ataku. Aplikacje, które wymagają konta i przechowują Twoje pliki na własnych serwerach, proszą Cię o zaufanie bazie danych, której nie możesz sprawdzić.
Keepsafe jest najbardziej wyrazistym przykładem tego strukturalnego wyboru. Wymaga adresu e-mail przed użyciem, przechowuje zawartość na własnych serwerach, a niezależna analiza bezpieczeństwa wykazała, że firma zachowuje możliwość dostępu do zdjęć użytkowników. Polityka prywatności to jedyna w naszym zestawie, która przyznaje, że niektóre udostępnianie danych może być sklasyfikowane zgodnie z prawem Kalifornii jako sprzedaż lub udostępnianie danych osobowych. To ujawnienie, którego inne nie dokonały, i mówi Ci, kto posiada klucz. Gdy sprzedawca posiada klucz szyfrowania, naruszenie bezpieczeństwa u sprzedawcy to Twoje naruszenie bezpieczeństwa. Model, który tego unika, to szyfrowanie zero-knowledge, gdzie dostawca nie może odczytać Twoich danych, bo nigdy nie posiada klucza.
Przykład tego, co może pójść nie tak, nadszedł w 2025 roku. Oddzielna aplikacja o nazwie Photo Vault, opublikowana przez dewelopera Brain Craft, pozostawiła swoją bazę danych Firebase bez ochrony hasłem. Naruszenie zostało zgłoszone przez Cybernews w 2025 roku i potwierdzone przez The Dead Pixels Society. Ujawniło adresy e-mail użytkowników, hasła w formie zwykłego tekstu, nazwy plików i folderów oraz zawartość funkcji bezpiecznych notatek aplikacji, dla aplikacji z około 72 000 pobraniami. Precyzując: ta aplikacja Brain Craft to nie ten sam produkt co Private Photo Vault ani Pic Safe firmy Legendary Software Labs, mimo podobnej nazwy. Same zdjęcia nie były w bazie danych, ale było tam wszystko, czego potrzeba, aby zaatakować konta, w tym hasła przechowywane w postaci zwykłego tekstu, których aplikacja sejfowa nigdy nie powinna posiadać w czytelnej formie, nie mówiąc już o ujawnianiu.
Odkrycie 4: SDK reklamowe wewnątrz "prywatnej" aplikacji
Siedem z ośmiu polityk prywatności, które przeczytaliśmy, odnosiło się do reklam podmiotów trzecich. Wyróżnia się NQ Vault, dystrybuowany również jako Vault-Hide, którego polityka wymienia sześć wbudowanych SDK reklamowych: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin i Unity. Zadaniem sieci reklamowej jest budowanie profilu użytkownika. Wbudowanie sześciu z nich w aplikację, której cały cel stanowi prywatność, to definiująca ironia tej kategorii, i jest to stwierdzone w tekście polityki, a nie w naszych spekulacjach.
Szerszy wzorzec z przeglądu ośmiu polityk: tylko jedna z ośmiu, LockMyPix, pozycjonuje się jako wolna od reklam w swoim podstawowym modelu. Private Photo Vault wspomina o plikach cookie podmiotów trzecich i reklamach. Privault wymienia AdMob i analizy Umeng. Best Secret Folder odwołuje się do spersonalizowanych reklam, Google Analytics i Firebase. Hide It Pro odwołuje się do SDK reklamowego podmiotu trzeciego. Aplikacje, które nie korzystają z chmury, nie wymagają konta i podają algorytm, to wyjątek, nie norma.
Dekada udokumentowanych błędów
To nie jest nowe. Wzorzec "szyfrowania", które nie jest szyfrowaniem, jest dokumentowany od 2014 roku przez nazwanych badaczy i recenzowane badania naukowe. Poniżej znajduje się rejestr incydentów z poziomami pewności, ponieważ niektóre są lepiej udokumentowane niż inne.
We wrześniu 2014 roku badacz kryminalistyki Jonathan Zdziarski wykazał, że Private Photo Vault, mający wówczas ponad 3 miliony użytkowników, nie stosował żadnego szyfrowania poza domyślnym przechowywaniem iOS. Zdjęcia można było odzyskać w postaci zwykłego tekstu w około pięć minut. Incydent ten jest potwierdzony na podstawie pierwotnego źródła na zdziarski.com.
W kwietniu 2015 roku The Register i Slate doniosły, że NQ Mobile Vault, który reklamował "szyfrowanie" i miał ponad 10 milionów pobrań, stosował operację XOR na pojedynczym bajcie tylko do pierwszych 128 bajtów każdego pliku. Pozostawia to 256 możliwych kluczy, a reszta każdego pliku jest w zwykłym tekście. Incydent ten jest potwierdzony.
W listopadzie 2015 roku badacz IOActive Michael Allen przetestował Private Photo Vault, aplikację o nazwie "My Media" i Keepsafe, i włamał się do wszystkich trzech w czasie poniżej 30 minut. Metody obejmowały hasła PIN w formie zwykłego tekstu przechowywane w plikach list właściwości, nieuwierzytelniony serwer internetowy działający na porcie 5555 oraz hasła albumów zwracane w postaci zwykłego tekstu z serwera. Incydent ten jest potwierdzony.
W 2017 roku Zhang, Baggili i Breitinger opublikowali recenzowane badanie w Computers and Security (tom 70) analizujące 18 aplikacji sejfowych na Androida z łącznie około 220 milionami pobrań. Sześć nie szyfrowało przechowywanych zdjęć, 7 przechowywało hasła w postaci zwykłego tekstu, a 10 ujawniało ukryte dane bez dostępu root. Badania pomogły odzyskać dowody w sprawie karnej: 66 obrazów i 18 filmów. To badanie jest potwierdzone.
W czerwcu 2019 roku badacz publikujący jako forensicmike1 odkrył, że Private Photo Vault dodał szyfrowanie AES przez RNCryptor, ale klucz główny był przechowywany statycznie w iOS Keychain i nigdy nie był rotowany po zmianie PIN-u przez użytkownika. Czterocyfrowy PIN sprawiał, że klucz był trywialnie podatny na atak siłowy. Incydent ten jest potwierdzony.
W 2022 roku Ruffin i współpracownicy opublikowali recenzowane badanie na ACM WPES analizujące 20 popularnych aplikacji sejfowych na Androida z ponad 10 milionami pobrań każda. Tylko 5 z 20 próbowało szyfrowania plików. 15 było w pełni możliwych do odzyskania prostym poleceniem adb pull, a 7 przechowywało kody PIN lub adresy e-mail do odzyskiwania w postaci zwykłego tekstu. To badanie jest potwierdzone.
W lutym 2025 roku Kaspersky zgłosił kampanię SparkCat: złośliwe oprogramowanie znalezione w aplikacjach zarówno w App Store, jak i Google Play, które używało rozpoznawania optycznego tekstu na urządzeniu do skanowania bibliotek zdjęć użytkowników w poszukiwaniu fraz seed kryptowalut i zrzutów ekranu haseł, a następnie eksfiltrowania wyników. Apple i Google usunęli aplikacje. Był to pierwszy znany złodziej zdjęć oparty na OCR, który przeszedł weryfikację App Store. Incydent ten jest potwierdzony.
Dwa dodatkowe incydenty mają częściowe potwierdzenie i należy je czytać z tym zastrzeżeniem. Analiza z 2021 roku wykryła rodzinę aplikacji sejfowych w stylu kalkulatora na Androida, które współdzieliły jeden zakodowany na stałe klucz AES-CBC we wszystkich instalacjach, co oznacza, że jeden znany klucz deszyfrował media każdego użytkownika. Jest to częściowo potwierdzone, przez jednego technicznie precyzyjnego badacza. Osobno, aplikacja Vault-Hide została w 2017 roku oznaczona przez indyjskie Ministerstwo Elektroniki i Technologii Informacyjnych za eksfiltrację numerów telefonów, numerów IMEI i list zainstalowanych aplikacji, i podobno uniknęła usunięcia przez zmianę nazwy. Jest to częściowo potwierdzone przez wtórne źródła Cybernews i CPO Magazine.
Jeden punkt danych jest godny uwagi ze względu na swój brak: nie znaleźliśmy żadnego CVE przypisanego do żadnej konsumenckiej aplikacji sejfowej. Najbliższe formalne ujawnienie to poradnik z 2018 roku dotyczący niepowiązanego produktu "Photo Vault" z nieuwierzytelnionym serwerem WiFi, oceniony jako średnia waga (CVSS 4.8), bez wydanego CVE (seclists.org Full Disclosure, styczeń 2018). Kategoria ta nie jest formalnie śledzona, co oznacza, że większość tych błędów została wykryta przez niezależnych badaczy poza jakimkolwiek skoordynowanym procesem ujawniania.
Jak faktycznie ocenić aplikację sejfową
Nie trzeba niczego poddawać inżynierii odwrotnej. Pięć pytań pozwala odfiltrować większość ryzyka. Po pierwsze: czy podaje algorytm? "AES-256" lub "AES-GCM" to twierdzenie, które można sprawdzić. "Klasy wojskowej" - nie. Po drugie: czy wymagane jest konto? E-mail i hasło tworzą magazyn danych uwierzytelniających, który może wyciec, co pokazał incydent Firebase z Brain Craft. Po trzecie: jeśli tworzy kopię zapasową w chmurze, kto posiada klucz? Jeśli sprzedawca może zresetować Twoje hasło i odzyskać Twoje zdjęcia, sprzedawca może odczytać Twoje zdjęcia - podobnie jak każdy, kto włamie się do sprzedawcy.
Po czwarte: co mówi etykieta App Privacy i polityka? Otwórz sekcję App Privacy. Jeśli śledzi Cię lub powiązuje Twoje zdjęcia z Twoją tożsamością - uwierz w to. Przeczytaj politykę pod kątem ujawnień dotyczących SDK reklamowych. Po piąte: czy można ją zweryfikować? "Dane nie są zbierane", nazwane algorytmy ze szczegółami dotyczącymi wyprowadzania kluczy i kod open source - to wszystko sygnały, że aplikacja spodziewa się kontroli. Aplikacje, których nie można sprawdzić, liczą na to, że nie będziesz sprawdzać.
Gdzie Vaultaire mieści się w tym obrazie
Zbudowaliśmy Vaultaire wokół konkretnych klas błędów udokumentowanych powyżej, więc jest uczciwe mierzenie nas względem nich, a nie względem marketingu. Vaultaire wyprowadza klucz szyfrowania AES-256-GCM z wzorca 5-na-5, który rysujesz; wzorzec generuje klucz i nigdy nie jest przechowywany, więc nie ma pliku haseł, który mógłby wyciec, i nic na serwerze do atakowania siłą. Nie ma konta, co oznacza brak adresu e-mail i brak magazynu danych uwierzytelniających. To właśnie wyciekło w incydencie Brain Craft.
Vaultaire jest zero-knowledge: Twoje pliki i klucze nigdy nie opuszczają urządzenia w czytelnej formie. Opcjonalna kopia zapasowa iCloud jest szyfrowana przed opuszczeniem Twojego telefonu, więc ani my, ani nikt, kto włamie się na serwer, nie może jej odczytać. Nie posiadamy klucza do Twoich danych, co oznacza, że naruszenie u nas nie jest naruszeniem u Ciebie. To nie jest twierdzenie, że Vaultaire to jedyny bezpieczny wybór. To twierdzenie dotyczące architektury: model, który unika udokumentowanych błędów, to taki, w którym dostawca nigdy nie posiada klucza i nigdy nie zbiera danych. Kilka innych aplikacji prawidłowo realizuje części tego podejścia i wymienialiśmy je w całym tym audycie. Celem audytu jest to, że teraz możesz sam zweryfikować każde twierdzenie.
Powiązane artykuły:
- Czy aplikacje sejfowe na zdjęcia są bezpieczne? Krótka wersja
- Co naprawdę oznacza szyfrowanie AES-256
- Szyfrowanie zero-knowledge wyjaśnione
- Co polityki prywatności przechowywania zdjęć w chmurze naprawdę mówią
- Jak szyfrowanie oparte na wzorcu sprawia, że Twój wzorzec jest kluczem
Źródła
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Często zadawane pytania
Czy aplikacje do przechowywania zdjęć są naprawdę bezpieczne?
Zależy to całkowicie od aplikacji, a większość jest słabsza niż wygląda. W naszym audycie z czerwca 2026 roku 7 z 12 najczęściej instalowanych aplikacji sejfowych na iOS zadeklarowało, że Cię śledzi, a tylko 1 podała konkretny algorytm w swoim wpisie. Dekada badań wielokrotnie wykrywała aplikacje reklamujące "szyfrowanie" przy jednoczesnym przechowywaniu plików w formie zwykłego tekstu lub za prostą obfuskacją. Bezpieczne aplikacje podają prawdziwy algorytm, nie wymagają konta i nie posiadają klucza do Twoich danych.
Czy deweloper aplikacji sejfowej może zobaczyć moje zdjęcia?
Jeśli aplikacja przechowuje Twoje zdjęcia we własnej chmurze i może odzyskać Twoje konto, gdy zapomnisz hasła, to tak: deweloper posiada klucz szyfrowania i technicznie może uzyskać dostęp do Twoich zdjęć - podobnie jak każdy, kto włamie się na serwery dewelopera. Niezależna analiza wykazała, że w przypadku Keepsafe tak właśnie jest. Aplikacje zero-knowledge lub tylko lokalne nie mogą zobaczyć Twoich zdjęć, bo nigdy nie posiadają klucza.
Czy Private Photo Vault (Pic Safe) jest naprawdę szyfrowany?
Opcjonalny Cloud Vault aplikacji Private Photo Vault podaje AES-256, co jest prawdziwym algorytmem. Jednak aplikacja ma udokumentowaną historię słabości: brak szyfrowania odkryty w 2014 roku (Zdziarski), włamanie w czasie poniżej 30 minut w 2015 roku (IOActive) i statyczny, nierotowany klucz główny odkryty w 2019 roku (forensicmike1). Jej obecna etykieta prywatności w App Store deklaruje również, że śledzi Cię i powiązuje Twoje zdjęcia z Twoją tożsamością.
Czy aplikacje sejfowe na zdjęcia naprawdę używają szyfrowania, czy tylko PIN-u?
Wiele z nich używa tylko PIN-u do ukrytego folderu, co nie jest szyfrowaniem. Ukrywanie przenosi plik w mniej widoczne miejsce; plik pozostaje czytelny dla każdego, kto dotrze do niego przez kopię zapasową lub narzędzie kryminalistyczne. Recenzowane badanie z 2022 roku obejmujące 20 aplikacji sejfowych na Androida (Ruffin i in., ACM WPES) wykazało, że tylko 5 próbowało prawdziwego szyfrowania plików, a 15 można było w pełni odzyskać prostym poleceniem adb pull. Prawdziwe szyfrowanie przekształca plik w zaszyfrowany tekst wymagający klucza.
Co stanie się z moimi zdjęciami, gdy usunę aplikację sejfową?
Jeśli aplikacja tylko ukryła pliki (bez szyfrowania), pliki mogą pozostać na urządzeniu w dostępnej lokalizacji lub w kopiach zapasowych. Jeśli aplikacja szyfrowała pliki lokalnie i usuniesz aplikację bez eksportowania, zaszyfrowany tekst może stać się nieodwracalny, ponieważ klucz zniknął. Jeśli aplikacja korzystała z przechowywania w chmurze, pliki mogą pozostać na serwerach dostawcy. Sprawdź dokumentację eksportu i usuwania aplikacji przed jej odinstalowaniem.
Czy narzędzia kryminalistyczne lub policja mogą ominąć PIN aplikacji sejfowej?
Ochrona tylko PIN-em oferuje małą odporność na narzędzia do ekstrakcji kryminalistycznej. Badania z 2014, 2015, 2017 i 2022 roku wykazały, że PIN-y aplikacji sejfowych były omijane w minutach lub pliki były odzyskiwane bez żadnego uwierzytelniania. Czterocyfrowy PIN znaleziony w implementacji Private Photo Vault z 2019 roku był odnotowany jako trywialnie podatny na atak siłowy. Prawdziwe szyfrowanie plików z silną funkcją wyprowadzania kluczy znacznie podnosi poprzeczkę; sama bramka PIN-u tego nie robi.
Czy Keepsafe sprzedaje moje dane?
Polityka prywatności Keepsafe to jedyna w naszym zestawie audytowym, która wprost stwierdza, że niektóre udostępnianie danych może być sklasyfikowane zgodnie z prawem Kalifornii jako "sprzedaż" lub "udostępnianie" danych osobowych. Polityka odwołuje się również do partnerów reklamowych. To ujawnienie, którego inne aplikacje w naszym zestawie nie dokonały. To, czy stanowi to sprzedaż, zależy od zastosowanej definicji prawnej, ale polityka jest najbardziej jednoznaczna w tej kategorii w tym punkcie.
Jaka jest różnica między ukrywaniem zdjęć a ich szyfrowaniem?
Ukrywanie przenosi plik w mniej widoczne miejsce na urządzeniu; podstawowy plik jest niezmieniony i czytelny dla każdego mającego dostęp do pamięci, w tym dla narzędzi do tworzenia kopii zapasowych lub oprogramowania kryminalistycznego. Szyfrowanie przekształca plik w zaszyfrowany tekst, który bez właściwego klucza jest nieczytelny. Wiele aplikacji sejfowych tylko ukrywa. Badanie akademickie z 2022 roku (Ruffin i in.) wykazało, że 15 z 20 popularnych aplikacji sejfowych na Androida można było odzyskać podstawowym poleceniem adb pull bez potrzeby deszyfrowania.
Czy bezpieczne jest włączenie kopii zapasowej w chmurze w aplikacji sejfowej?
Tylko jeśli kopia zapasowa jest szyfrowana przed opuszczeniem urządzenia, a dostawca nie może jej odszyfrować. Jeśli sprzedawca może odzyskać Twoje pliki po utracie hasła, kopia zapasowa jest czytelna dla sprzedawcy i narażona przy każdym naruszeniu serwera. Incydent Firebase z Brain Craft w 2025 roku ujawnił e-maile, hasła w postaci zwykłego tekstu i nazwy folderów dokładnie dlatego, że strona chmurowa nie miała żadnej ochrony. Szukaj architektury zero-knowledge z szyfrowaniem przed przesłaniem.
Która aplikacja sejfowa na zdjęcia nie wymaga konta ani dostępu do Internetu?
Kilka aplikacji działa w pełni offline bez konta. W naszym audycie dwie niosły etykietę Apple "Dane nie są zbierane": Safe Lock i Secret Photo Vault Lock Photos. Vaultaire nie wymaga konta, adresu e-mail ani połączenia sieciowego do szyfrowania i przechowywania plików. Brak wymagania konta całkowicie eliminuje powierzchnię ataku magazynu danych uwierzytelniających, co jest dokładnie tą klasą narażenia, którą zademonstrował incydent Firebase z Brain Craft w 2025 roku.