PL
English Español Deutsch Français Português 日本語 中文 العربية हिंदी Bahasa Indonesia Italiano 한국어 Nederlands Polski Русский Svenska ไทย Türkçe Tiếng Việt
Pobierz
Aplikacje-skarbce kalkulatory: jak działają i dlaczego istnieją

Aplikacje-skarbce kalkulatory: jak działają i dlaczego istnieją

Większość aplikacji-skarbców kalkulatorów ukrywa zdjęcia za przebraniem, ale przechowuje pliki niezaszyfrowane.

Aplikacja-skarbiec kalkulator to aplikacja mobilna, która na ekranie głównym udaje standardowy kalkulator, ale po wprowadzeniu konkretnego kodu otwiera ukryty obszar przechowywania zdjęć i plików. Przebranie służy jednemu celowi: każdy, kto spojrzy na telefon, widzi kalkulator, a nie skarbiec. Ta koncepcja napędziła setki milionów pobrań na iOS i Androida.

Ale istnieje problem, którego większość użytkowników nigdy nie bierze pod uwagę. Przebranie ukrywa aplikację przed przypadkowymi obserwatorami. Nie ukrywa twoich plików przed nikim mającym wiedzę techniczną. Ta różnica ma większe znaczenie, niż większość ludzi zdaje sobie sprawę.

Ten poradnik wyjaśnia, jak działają aplikacje-skarbce kalkulatory, dlaczego stały się popularne, przed czym naprawdę chronią i gdzie model bezpieczeństwa zawodzi.

Jak działają aplikacje-skarbce kalkulatory

Aplikacje-skarbce kalkulatory podążają za spójnym wzorcem. Ikona aplikacji i ekran startowy wyświetlają działający kalkulator. Gdy użytkownik wprowadza predefiniowany PIN lub kod dostępu i dotyka przycisku równości, aplikacja ujawnia ukryty obszar przechowywania zdjęć, filmów i plików.

Ogólny mechanizm:

  1. Przebranie na ekranie głównym. Ikona aplikacji naśladuje domyślny kalkulator iOS lub Android. Niektóre aplikacje idą dalej i replikują dokładny interfejs aplikacji kalkulatora systemu.
  2. Dostęp oparty na PIN-ie. Kod numeryczny (zazwyczaj 4-8 cyfr) odblokowuje ukryty obszar. Niektóre aplikacje obsługują wiele PIN-ów otwierających różne albumy.
  3. Ukryty magazyn. Zdjęcia i filmy zaimportowane do aplikacji są przechowywane w piaskownicy aplikacji, oddzielnie od biblioteki zdjęć urządzenia.
  4. Działający kalkulator. Część kalkulatora faktycznie działa do podstawowej arytmetyki, utrzymując przebranie nawet jeśli ktoś otworzy aplikację.

Popularne przykłady to Calculator# (znany też jako Calculator+), Calculator Lock, Secret Calculator i HideX. Większość jest darmowa z reklamami i oferuje płatne poziomy dla dodatkowych funkcji.

Co dzieje się z twoimi plikami wewnątrz

Tu robi się ważne. W większości aplikacji-skarbców kalkulatorów pliki przechowywane wewnątrz nie są zaszyfrowane. Są przenoszone z rolki aparatu do lokalnego katalogu przechowywania aplikacji. Na iOS oznacza to, że pliki siedzą w folderze piaskownicy aplikacji w standardowym formacie obrazu (JPEG, PNG, HEIC).

Pliki są ukryte przed aplikacją Zdjęcia, ale nie są kryptograficznie chronione. Rozróżnienie między „ukrytym" a „zaszyfrowanym" jest centralnym problemem całej tej kategorii.

Dlaczego aplikacje-skarbce kalkulatory stały się popularne

Popularność skarbców-kalkulatorów wynika z trzech nakładających się potrzeb:

1. Prywatność społeczna

Najczęstszym przypadkiem użycia jest ukrywanie zdjęć przed osobami, które pożyczają lub zaglądają przez ramię na twój telefon. Partner, członek rodziny, współpracownik lub znajomy, który podniesie telefon i przewija aplikacje, zobaczy kalkulator. Jest mało prawdopodobne, że go otworzy i wypróbuje losowe sekwencje liczb.

2. Wiarygodne zaprzeczenie (postrzegane)

Użytkownicy wierzą, że przebranie kalkulatora zapewnia zaprzeczalność. Jeśli ktoś zapyta „czy masz aplikację-skarbiec?", odpowiedź może brzmieć „nie, to tylko mój kalkulator". Działa to tylko wobec osób, które nie patrzą uważnie.

3. Brak wymaganej wiedzy technicznej

Skarbce-kalkulatory są proste w użyciu. Pobierz aplikację, ustaw PIN, zaimportuj zdjęcia. Nie jest potrzebne rozumienie szyfrowania, zarządzania kluczami ani architektury bezpieczeństwa. Bariera wejścia wynosi zasadniczo zero.

To są uzasadnione potrzeby. Problem nie tkwi w celach. Problem tkwi w tym, co się dzieje, gdy zagrożenie eskaluje powyżej nieformalnego podglądania przez ramię.

Luka bezpieczeństwa: przed czym skarbce-kalkulatory nie chronią

Zagrożenie Skarbiec-kalkulator Zaszyfrowany skarbiec (AES-256)
Nieformalne podglądanie przez ramię Chronione (przebranie działa) Chronione (aplikacja wymaga uwierzytelniania)
Ktoś, kto wie, że masz aplikację-skarbiec Niechronione (przebranie jest zdekonspirowane) Chronione (szyfrowanie nadal obowiązuje)
Telefon podłączony do komputera Niechronione (pliki widoczne w systemie plików) Chronione (pliki to zaszyfrowane obiekty)
Badanie forensyczne Niechronione (standardowe odzyskiwanie plików) Chronione (dane nieodróżnialne od szumu)
Aplikacja odinstalowana lub eksport danych Niechronione (pliki w postaci jawnej) Chronione (zaszyfrowane dane są nieczytelne)
Przekraczanie granicy / wymuszony dostęp Niechronione (można żądać PIN-u) Zależy od architektury

Fundamentalne ograniczenie: skarbiec-kalkulator chroni przed oczami, nie przed narzędziami. Każdy z kablem USB, zestawem forensycznym lub nawet podstawową wiedzą o wyodrębnianiu kopii zapasowych iPhone może znaleźć pliki.

Na Androidzie sytuacja jest gorsza. Wiele aplikacji-skarbców kalkulatorów przechowuje pliki na karcie SD lub w dostępnych katalogach. Na iOS piaskownica aplikacji zapewnia pewną izolację, ale kopie zapasowe iTunes/Finder mogą zawierać dane aplikacji, a narzędzia forensyczne takie jak Cellebrite i GrayKey rutynowo wyodrębniają zawartość piaskownicy aplikacji.

Problem z reklamami i zbieraniem danych

Większość darmowych aplikacji-skarbców kalkulatorów jest wspierana reklamami. Oznacza to, że zawierają SDK reklamowe zbierające identyfikatory urządzeń, wzorce użytkowania i czasami dane lokalizacji. Ironia jest trudna do zignorowania: aplikacja zaprojektowana do ochrony twojej prywatności jednocześnie transmituje twoje zachowanie do sieci reklamowych.

W naszym przeglądzie z 2023 roku 20 najlepszych aplikacji-skarbców kalkulatorów na iOS App Store stwierdziliśmy, że 14 z nich zawierało co najmniej trzy zewnętrzne SDK śledzące. Kilka przesyłało dane do serwerów w jurysdykcjach z ograniczoną ochroną prywatności.

Użytkownicy instalujący te aplikacje dla prywatności często uzyskują odwrotność w zakresie swojego śladu cyfrowego.

Funkcja „wielu PIN-ów": prawdziwa czy teatr?

Kilka aplikacji-skarbców kalkulatorów reklamuje funkcję, w której różne PIN-y otwierają różne albumy zdjęć. Wprowadź 1234 i zobaczysz zdjęcia z wakacji. Wprowadź 5678 i zobaczysz prywatne pliki. Brzmi jak wiarygodne zaprzeczenie.

Tak nie jest.

Prawdziwe wiarygodne zaprzeczenie wymaga, aby nie można było udowodnić istnienia ukrytych danych. Aplikacje-skarbce kalkulatorów z wieloma PIN-ami przechowują plik konfiguracyjny wymieniający, ile par PIN-album istnieje. Śledczy forensyczny może odczytać tę konfigurację. Może zobaczyć, że istnieją dwa albumy, nawet bez znajomości drugiego PIN-u. Same dane są niezaszyfrowane, więc mogą uzyskać do plików bezpośredni dostęp bez żadnego PIN-u.

Porównaj to z architekturą, w której każde poświadczenie otwiera inną zaszyfrowaną przestrzeń, nie ma rejestru ile przestrzeni istnieje i wszystkie zaszyfrowane dane są nieodróżnialne od losowego szumu. To drugie to wiarygodne zaprzeczenie. To pierwsze to sztuczka UI.

Kto powinien (i nie powinien) używać skarbca-kalkulatora

Aplikacje-skarbce kalkulatory służą wąskiemu, ale prawdziwemu przypadkowi użycia. Oto rzetelna ocena:

Skarbce-kalkulatory mają sens jeśli:

  • Twoją jedyną troską jest zapobieganie nieformalnym, nietech­nicznym osobom natknięcia się na zdjęcia
  • Chcesz społecznej wygody ukrytej ikony aplikacji
  • Rozumiesz, że ochrona jest kosmetyczna, nie kryptograficzna
  • Nie przechowujesz niczego, co stworzyłoby poważne konsekwencje po odkryciu

Skarbce-kalkulatory są niewystarczające jeśli:

  • Możesz potencjalnie mieć przeszukiwane urządzenie (przekraczanie granic, sytuacje prawne, środowisko pracy)
  • Ktoś z wiedzą techniczną może próbować uzyskać dostęp do twoich plików
  • Pliki wyrządziłyby prawdziwe szkody po ujawnieniu (intymne zdjęcia, poufne dokumenty, dokumentacja medyczna)
  • Potrzebujesz ochrony, która przeżyje badanie forensyczne
  • Chcesz rzeczywistej prywatności od dewelopera aplikacji i ich partnerów reklamowych

Rozróżnienie jest między prywatnością społeczną (ukrywanie przed przypadkowymi obserwatorami) a bezpieczeństwem (ochrona danych przed zdeterminowanymi przeciwnikami). Skarbce-kalkulatory zapewniają to pierwsze. Nie zapewniają tego drugiego.

Jak zaszyfrowane aplikacje-skarbce radzą sobie z tym inaczej

Alternatywą dla ukrywania opartego na przebraniu jest ochrona oparta na szyfrowaniu. Zaszyfrowana aplikacja-skarbiec nie polega na ukrywaniu swojego istnienia. Polega na matematyce.

Przy szyfrowaniu AES-256-GCM każdy plik jest szyfrowany 256-bitowym kluczem zanim trafi do magazynu. Zaszyfrowane wyjście jest nieodróżnialne od losowych danych. Bez prawidłowego klucza nie ma nic do zobaczenia -- nie ukryte pliki w folderze, ale prawdziwy kryptograficzny szum.

Vaultaire przyjmuje inne podejście do problemu wiarygodnego zaprzeczenia, który skarbce-kalkulatory próbują rozwiązać za pomocą przebrania. Zamiast ukrywać aplikację, Vaultaire sprawia, że matematycznie niemożliwe jest udowodnienie, co jest w środku:

  • Każdy wzór otwiera inny skarbiec. Nie ma głównego indeksu. Nie ma liczby skarbców. Nie ma rejestru ujawniającego, ile skarbców istnieje.
  • Dopełnianie przestrzeni dyskowej utrzymuje całkowite użycie dysku na stałym poziomie niezależnie od liczby skarbców lub plików, uniemożliwiając analizę opartą na zmianach przestrzeni dyskowej.
  • Tryb przymusu niszczy kryptograficzne sole dla wszystkich innych skarbców, gdy zostanie narysowany wyznaczony wzór, bez wizualnego wskaźnika i bez możliwego do odzyskania dowodu.
  • Brak flag konfiguracyjnych. W przeciwieństwie do skarbców-kalkulatorów z ustawieniami „PIN wabika", które narzędzia forensyczne mogą znaleźć, Vaultaire nie ma booleana trybu ukrytego, ponieważ każdy skarbiec jest architektonicznie identyczny.

Wynik: śledczy forensyczny z nieograniczonym czasem i profesjonalnymi narzędziami może potwierdzić, że Vaultaire jest zainstalowany i że zaszyfrowane dane są obecne, ale nie może określić, ile skarbców istnieje, co zawierają ani czy dodatkowe skarbce zostały zniszczone.

To jest różnica między przebraniem a architekturą. Jedno zawodzi, gdy ktoś patrzy uważnie. Drugie wytrzymuje kontrolę.

Czego szukać zamiast tego

Jeśli oceniasz alternatywy dla aplikacji-skarbców kalkulatorów, oto kryteria, które mają znaczenie:

Kryterium Co sprawdzić Dlaczego to ważne
Standard szyfrowania AES-256-GCM lub minimum AES-256-CBC Bez szyfrowania pliki są dostępne dla każdego z dostępem do systemu plików
Wyprowadzanie klucza PBKDF2, Argon2 lub scrypt z wysoką liczbą iteracji Zapobiega atakom brute-force na hasło/wzór
Zbieranie danych Sprawdź etykiety prywatności w App Store Wiele aplikacji-skarbców zbiera i sprzedaje dane użytkowania
Architektura zero-knowledge Deweloper nie może uzyskać dostępu do twoich plików Jeśli deweloper ma dostęp, ma go też każdy, kto naruszy dewelopera
Mechanizm odzyskiwania Fraza odzyskiwania lub klucz kontra resetowanie przez e-mail Resetowanie przez e-mail oznacza, że deweloper może odszyfrować twoje dane
Status audytu Czy szyfrowanie zostało niezależnie zweryfikowane? Samozadeklarowane szyfrowanie może być niepoprawnie zaimplementowane

Szczegółowe porównanie konkretnych aplikacji znajdziesz w naszym poradniku o najlepszych aplikacjach-skarbcach zdjęć na iPhone. Jeśli chcesz krok po kroku instrukcje ukrywania zdjęć, zacznij od naszego poradnika o ukrywaniu zdjęć na iPhone.

Najczęściej zadawane pytania

Czy aplikacje-skarbce kalkulatory są bezpieczne?

Aplikacje-skarbce kalkulatory chronią przed przypadkową obserwacją, ale nie przed technicznym badaniem. Większość nie szyfruje przechowywanych plików, co oznacza, że każdy z dostępem do systemu plików (przez USB, wyodrębnianie kopii zapasowej lub narzędzia forensyczne) może wyświetlać zdjęcia bez znajomości PIN-u. Zazwyczaj zawierają też SDK reklamowe zbierające dane urządzenia i użytkowania. Dla prywatności społecznej działają. Dla prawdziwego bezpieczeństwa nie.

Czy ktoś może znaleźć zdjęcia ukryte w aplikacji-skarbcu kalkulator?

Tak. Pliki przechowywane w większości aplikacji-skarbców kalkulatorów nie są zaszyfrowane. Istnieją jako standardowe pliki obrazów w katalogu przechowywania aplikacji. Podłączenie telefonu do komputera, wyodrębnienie kopii zapasowej iTunes lub użycie narzędzi forensycznych może ujawnić pliki bez potrzeby znajomości PIN-u aplikacji. Na Androidzie niektóre aplikacje przechowują pliki na karcie SD, czyniąc je jeszcze bardziej dostępnymi.

Jaka jest różnica między skarbcem-kalkulatorem a zaszyfrowaną aplikacją-skarbcem?

Skarbiec-kalkulator ukrywa swoją tożsamość za przebraniem kalkulatora i przechowuje pliki w ukrytym, ale niezaszyfrowanym folderze. Zaszyfrowana aplikacja-skarbiec przechowuje pliki jako dane zaszyfrowane AES-256, które są matematycznie nieczytelne bez prawidłowego klucza. Podejście kalkulatorowe chroni przed przypadkowymi obserwatorami. Podejście szyfrowania chroni przed badaniem forensycznym, kradzieżą urządzenia i wymuszonym dostępem.

Czy aplikacje-skarbce kalkulatory szyfrują zdjęcia?

Większość nie szyfruje. Większość aplikacji-skarbców kalkulatorów używa przebrania jako głównego mechanizmu ochrony i przechowuje pliki w postaci jawnej w piaskownicy aplikacji. Niektóre nowsze skarbce-kalkulatory twierdzą, że oferują szyfrowanie, ale bez niezależnej weryfikacji implementacji, siła tego szyfrowania jest niepewna. Aplikacje, które traktują szyfrowanie jako główną funkcję (zamiast przebrania), są generalnie bardziej wiarygodne w tym zakresie.

Czy policja może uzyskać dostęp do aplikacji-skarbców kalkulatorów?

Organy ścigania rutynowo używają narzędzi forensycznych takich jak Cellebrite UFED i GrayKey, które mogą wyodrębniać dane z piaskownicy aplikacji na urządzeniach iOS i Android. Ponieważ większość aplikacji-skarbców kalkulatorów przechowuje pliki niezaszyfrowane, narzędzia te mogą uzyskać dostęp do zdjęć bez znajomości PIN-u aplikacji. Właściwie zaszyfrowane aplikacje-skarbce używające AES-256 z architekturą zero-knowledge stanowią fundamentalnie inne wyzwanie, ponieważ dane są matematycznie niedostępne bez poświadczeń użytkownika.

Podsumowanie

Aplikacje-skarbce kalkulatory rozwiązują prawdziwy problem. Nie wszyscy potrzebują szyfrowania AES-256. Czasami po prostu chcesz trzymać zdjęcia z dala od wścibskiego współlokatora.

Ale wiedz, co dostajesz. Przebranie kalkulatora to narzędzie społeczne, nie narzędzie bezpieczeństwa. Działa do momentu, gdy ktoś spojrzy poza powierzchnię. Jeśli twoje zdjęcia wyrządziłyby prawdziwe szkody po ujawnieniu, przebranie nie wystarczy.

Pytanie nie brzmi „jak ukryć tę aplikację?" Pytanie brzmi „co się stanie, jeśli ktoś ją znajdzie?"

Jeśli odpowiedź na to drugie pytanie ma dla ciebie znaczenie, patrz poza przebranie. Patrz na szyfrowanie.

Powiązane poradniki: Najlepsze aplikacje-skarbce zdjęć na iPhone | Jak ukryć zdjęcia na iPhone | Aplikacja do ukrywania zdjęć: 5 podejść w rankingu | Czym jest szyfrowanie zero-knowledge?