Aplicativos de cofre de fotos sao seguros? Uma auditoria de seguranca de 2026
A maioria dos aplicativos iOS de cofre de fotos protege a tela, nao os arquivos. Em nossa auditoria de junho de 2026 dos 12 aplicativos vault mais instalados, apenas um nomeou um algoritmo de criptografia especifico em sua listagem na App Store, e 7 de 12 declararam que rastreiam voce. Os aplicativos dignos de confianca sao a minoria que nomeia um algoritmo real, nao possui nenhuma chave dos seus dados e nao coleta nada.
Aplicativos de cofre de fotos nao sao uniformemente seguros. Em nossa auditoria de junho de 2026 dos 12 aplicativos vault iOS mais instalados, 7 de 12 declararam que rastreiam usuarios em aplicativos e sites, apenas 1 nomeou um algoritmo especifico em sua listagem, e uma decada de pesquisa independente encontrou repetidamente aplicativos que comercializam "criptografia" enquanto armazenam arquivos em texto claro ou por tras de ofuscacao trivial. Os seguros nomeiam um algoritmo real, nao exigem conta e nao possuem nenhuma chave dos seus dados.
O que auditamos e o que nao testamos
Obtivemos o rotulo de privacidade do app, a politica de privacidade publicada e a descricao na App Store dos principais aplicativos de cofre de fotos e ocultacao de fotos na App Store dos EUA em junho de 2026, classificados por posicao na loja e volume de avaliacoes. Classificamos cada aplicativo pelo seu modelo de seguranca real e cruzamos uma decada de falhas documentadas de aplicativos vault, mantendo apenas incidentes rastreados a uma fonte primaria ou corroborada.
Dois limites sao importantes. Primeiro, os rotulos de privacidade da App Store sao autodeclarados; a Apple nao os audita, entao um aplicativo poderia declarar menos do que coleta. Segundo, esta e uma revisao de rotulos, politicas e arquitetura mais um registro de incidentes publicos. Nao realizamos captura de rede ao vivo, portanto nao fazemos nenhuma afirmacao sobre o trafego que nao observamos pessoalmente. Tudo aqui e verificavel em relacao as fontes listadas na parte inferior desta pagina.
Descoberta 1: "Criptografia" geralmente e uma palavra, nao um fato verificavel
A categoria funciona com a frase "criptografia de nivel militar". Ela nao significa nada por si so. AES-256 e um padrao publico sem nivel militar; a frase e marketing que sobrevive porque soa como uma especificacao. O que realmente importa e se um aplicativo nomeia um algoritmo, um comprimento de chave e um metodo de derivacao de chave que voce possa avaliar.
Na auditoria de rotulos dos 12 aplicativos, exatamente um nomeou um algoritmo especifico em sua descricao na App Store: Secret Photos KYMS, que diz "AES". Todos os outros disseram "criptografia de nivel militar", "armazenamento criptografado", "arquitetura zero-knowledge", ou nao nomearam nenhuma criptografia. Ao aprofundar a analise nos sites de desenvolvedores e politicas de oito aplicativos, apenas tres nomearam um algoritmo real em algum lugar de seus materiais oficiais: LockMyPix nomeia AES-CTR, o cofre em nuvem opcional do Private Photo Vault nomeia AES-256, e Calculator# divulga AES-256 com PBKDF2 a 200.000 iteracoes. Esses tres merecem credito por mostrar seu trabalho.
Ha uma distincao que a maioria das listagens vault obscurece: ocultar uma foto nao e criptografa-la. Ocultar move um arquivo para um lugar menos visivel. Criptografar o transforma em texto cifrado que e inutil sem uma chave. Uma tela de PIN que protege uma pasta de arquivos comuns e uma cortina, nao uma parede. Qualquer pessoa que acesse os arquivos subjacentes por meio de um backup, ferramenta forense ou comando adb entra diretamente.
Descoberta 2: Os rotulos de privacidade dizem mais do que o marketing
Os rotulos de privacidade de apps da Apple sao a pagina mais honesta da App Store, porque mentir neles e uma violacao de politica. E onde o texto de marketing e as praticas reais de dados param de concordar. Nossa auditoria de junho de 2026 descobriu que 7 dos 12 aplicativos declaram "Dados usados para rastrear voce", que e o termo da Apple para dados compartilhados para rastrear voce em aplicativos e sites de outras empresas. Apenas 2 de 12 carregam o rotulo "Nenhum dado coletado" da Apple, a mais forte atestacao de privacidade da loja: Safe Lock e Secret Photo Vault Lock Photos.
Os dois aplicativos com maior avaliacao do conjunto, Private Photo Vault (Pic Safe) e SV Private Photo Vault PRO, sao ambos publicados pela Legendary Software Labs e juntos tem aproximadamente 1,026 milhao de avaliacoes combinadas. Ambos rastreiam usuarios e, de acordo com seus proprios rotulos, vinculam suas fotos, videos e identificadores de dispositivo a sua identidade. Best Secret Folder tem a pegada mais ampla "vinculado a voce" do conjunto: localizacao, informacoes de contato completas incluindo nome, e-mail e telefone, e suas fotos, video e audio, enquanto exibe anuncios. Um aplicativo de fotos privadas que vincula suas fotos a sua identidade e rastreia voce em outros aplicativos esta resolvendo um problema diferente daquele para o qual voce o baixou.
Os demais aplicativos da auditoria contam sua propria historia. Private Photo Vault (Pic Safe) e SV Private Photo Vault PRO nao nomeiam nenhum algoritmo em suas listagens, usando apenas a frase "valor secreto para criptografar/descriptografar". Keepsafe descreve sua criptografia como "de nivel militar" sem nomear um algoritmo. Privault diz "armazenamento criptografado". HiddenVault afirma "arquitetura zero-knowledge", mas nao nomeia nenhum algoritmo. Calculator# nao nomeia nenhum algoritmo em sua listagem na App Store. Best Secret Folder e Hide It Pro nao nomeiam nada. Apenas KYMS nomeia AES, e apenas Encamera e de codigo aberto, o que oferece um tipo diferente de verificabilidade.
Descoberta 3: Uma conta e um backend na nuvem sao uma segunda superficie de ataque
O tratamento local de arquivos pode ser impecavel e o aplicativo ainda pode vazar dados, porque o backend e uma superficie de ataque separada. Aplicativos que exigem uma conta e armazenam seus arquivos em seus servidores pedem que voce confie em um banco de dados que nao pode inspecionar.
Keepsafe e o exemplo mais claro dessa escolha estrutural. Ele exige um endereco de e-mail antes de voce poder usa-lo, armazena conteudo em seus proprios servidores, e uma analise de seguranca independente descobriu que a empresa mantem a capacidade de acessar as fotos dos usuarios. Sua politica de privacidade e tambem a unica do nosso conjunto que admite que algum compartilhamento de dados pode ser classificado pela lei da California como venda ou compartilhamento de suas informacoes pessoais. Essa e uma divulgacao que os outros nao fizeram, e ela diz quem possui a chave. Quando um fornecedor possui a chave de criptografia, uma violacao do fornecedor e a sua violacao. O modelo que evita isso e a criptografia zero-knowledge, onde o provedor nao pode ler seus dados porque nunca possui a chave.
O exemplo concreto do que da errado chegou em 2025. Um aplicativo separado chamado Photo Vault, publicado pelo desenvolvedor Brain Craft, deixou seu banco de dados Firebase sem protecao por senha. A exposicao foi relatada pela Cybernews em 2025 e corroborada pela The Dead Pixels Society. Ela expos enderecos de e-mail de usuarios, senhas em texto simples, nomes de arquivos e pastas, e o conteudo do recurso de notas seguras do aplicativo, para um aplicativo com cerca de 72.000 downloads. Para ser preciso: este aplicativo Brain Craft nao e o mesmo produto que Private Photo Vault ou Pic Safe da Legendary Software Labs, apesar do nome semelhante. As fotos em si nao estavam no banco de dados, mas tudo necessario para atacar as contas estava la, incluindo senhas armazenadas em texto simples, que um aplicativo vault nunca deveria possuir em forma legivel, muito menos expor.
Descoberta 4: O SDK de publicidade dentro do aplicativo "privado"
Sete das oito politicas de privacidade que lemos faziam referencia a publicidade de terceiros. O caso mais notavel e o NQ Vault, tambem distribuido como Vault-Hide, cuja politica lista seis SDKs de publicidade embutidos no aplicativo: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin e Unity. O trabalho de uma rede de publicidade e construir um perfil do usuario. Embutir seis delas dentro de um aplicativo cuja premissa inteira e privacidade e a ironia definitiva da categoria, e esta declarada no texto da politica, nao em nossa especulacao.
O padrao mais amplo da revisao de politicas dos oito aplicativos: apenas um dos oito, LockMyPix, se posiciona como sem anuncios em seu modelo principal. Private Photo Vault menciona cookies de terceiros e publicidade. Privault lista AdMob e analytics da Umeng. Best Secret Folder faz referencia a anuncios personalizados, Google Analytics e Firebase. Hide It Pro faz referencia a um SDK de publicidade de terceiros. Os aplicativos que nao tem nuvem, nao exigem conta e nomeiam um algoritmo sao a excecao, nao o padrao.
Uma decada de falhas documentadas
Nada disso e novo. O padrao de "criptografia" que nao e criptografia tem sido documentado repetidamente desde 2014, por pesquisadores identificados e estudos revisados por pares. O que se segue e o registro de incidentes com niveis de confianca, porque alguns sao mais bem documentados do que outros.
Em setembro de 2014, o pesquisador forense Jonathan Zdziarski mostrou que o Private Photo Vault, que entao relatava mais de 3 milhoes de usuarios, nao aplicava nenhuma criptografia alem do armazenamento padrao do iOS. As fotos eram recuperaveis em texto claro em cerca de cinco minutos. Este incidente e verificado contra uma fonte primaria em zdziarski.com.
Em abril de 2015, The Register e Slate relataram que o NQ Mobile Vault, que comercializava "criptografia" e tinha mais de 10 milhoes de downloads, aplicava uma operacao XOR de um unico byte apenas nos primeiros 128 bytes de cada arquivo. Isso deixa 256 chaves possiveis e o restante de cada arquivo em texto simples. Este incidente e verificado.
Em novembro de 2015, o pesquisador da IOActive Michael Allen testou Private Photo Vault, um aplicativo chamado "My Media" e Keepsafe e invadiu todos os tres em menos de 30 minutos cada. Os metodos incluiam PINs em texto simples armazenados em arquivos de lista de propriedades, um servidor web nao autenticado rodando na porta 5555 e senhas de album retornadas em texto simples do servidor. Este incidente e verificado.
Em 2017, Zhang, Baggili e Breitinger publicaram um estudo revisado por pares em Computers and Security (volume 70) analisando 18 aplicativos vault Android com aproximadamente 220 milhoes de downloads combinados. Seis nao criptografavam fotos armazenadas, 7 armazenavam senhas em texto claro e 10 expunham dados ocultos sem acesso root. A pesquisa ajudou a recuperar evidencias em um caso criminal: 66 imagens e 18 videos. Este estudo e verificado.
Em junho de 2019, um pesquisador publicando como forensicmike1 descobriu que o Private Photo Vault havia adicionado criptografia AES via RNCryptor, mas a chave mestra estava armazenada estaticamente no iOS Keychain e nunca era rotacionada quando o usuario mudava seu PIN. Um PIN de 4 digitos tornava a chave trivialmente cracavel por forca bruta. Este incidente e verificado.
Em 2022, Ruffin e colegas publicaram um estudo revisado por pares no ACM WPES analisando 20 aplicativos vault Android populares com mais de 10 milhoes de downloads cada. Apenas 5 de 20 tentaram criptografia de arquivos. 15 eram completamente recuperaveis com um simples adb pull, e 7 armazenavam PINs ou e-mails de recuperacao em texto claro. Este estudo e verificado.
Em fevereiro de 2025, a Kaspersky relatou a campanha SparkCat: malware encontrado em aplicativos tanto na App Store quanto no Google Play que usava reconhecimento optico de caracteres no dispositivo para escanear as bibliotecas de fotos dos usuarios em busca de frases-semente de criptomoedas e capturas de tela de senhas, e entao exfiltrava as correspondencias. Apple e Google removeram os aplicativos. Foi o primeiro ladrão de fotos baseado em OCR conhecido a passar pela revisao da App Store. Este incidente e verificado.
Dois incidentes adicionais tem verificacao parcial e devem ser lidos com essa ressalva. Uma analise de 2021 encontrou uma familia de aplicativos vault estilo calculadora no Android compartilhando uma unica chave AES-CBC codificada em todos os instalacoes, o que significa que uma chave conhecida descriptografava a midia de cada usuario. Isso e parcialmente verificado, de um unico pesquisador tecnicamente especifico. Separadamente, o aplicativo Vault-Hide foi sinalizado pelo Ministerio de Eletronics e Tecnologia da Informacao da India em 2017 por exfiltrar numeros de telefone, numeros IMEI e listas de aplicativos instalados, e supostamente evitou a remocao renomeando-se. Isso e parcialmente verificado via fontes secundarias da Cybernews e CPO Magazine.
Um ponto de dados e notavel por sua ausencia: nao encontramos nenhum CVE atribuido a qualquer aplicativo de cofre de fotos para consumidores. A divulgacao formal mais proxima e um aviso de 2018 sobre um produto "Photo Vault" nao relacionado com um servidor WiFi nao autenticado, classificado como gravidade media (CVSS 4.8), sem CVE emitido (seclists.org Full Disclosure, janeiro de 2018). A categoria nao e formalmente rastreada, o que significa que a maioria dessas falhas foi detectada por pesquisadores independentes fora de qualquer processo de divulgacao coordenada.
Como realmente avaliar um aplicativo vault
Voce nao precisa fazer engenharia reversa de nada. Cinco perguntas filtram a maior parte do risco. Primeiro: ele nomeia um algoritmo? "AES-256" ou "AES-GCM" e uma afirmacao que voce pode verificar. "Nivel militar" nao e. Segundo: exige uma conta? Um e-mail e uma senha criam um repositorio de credenciais que pode vazar, como o incidente do Firebase da Brain Craft mostrou. Terceiro: se ele faz backup na nuvem, quem possui a chave? Se o fornecedor puder redefinir sua senha e recuperar suas fotos, o fornecedor pode ler suas fotos, e qualquer um que viole o fornecedor tambem pode.
Quarto: o que o rotulo de privacidade do app e a politica dizem? Abra a secao de privacidade do app. Se ele rastreia voce ou vincula suas fotos a sua identidade, acredite. Leia a politica para divulgacoes de SDK de publicidade. Quinto: e auditavel? "Nenhum dado coletado", algoritmos nomeados com detalhes de derivacao de chave e codigo-fonte aberto sao sinais de que um aplicativo espera ser examinado. Aplicativos que nao podem ser verificados estao contando que voce nao verifica.
Onde o Vaultaire se encaixa nesse cenario
Construimos o Vaultaire em torno das classes de falhas especificas documentadas acima, portanto e justo nos medir em relacao a elas em vez de ao marketing. O Vaultaire deriva sua chave de criptografia AES-256-GCM de um padrao 5x5 que voce desenha; o padrao gera a chave e nunca e armazenado, entao nao ha arquivo de senha para vazar e nada em um servidor para atacar por forca bruta. Nao ha conta, o que significa nenhum endereco de e-mail e nenhum repositorio de credenciais. Isso e exatamente o que vazou no incidente da Brain Craft.
O Vaultaire e zero-knowledge: seus arquivos e chaves nunca saem do dispositivo em forma legivel. O backup opcional do iCloud e criptografado antes de sair do seu telefone, entao nos nao podemos le-lo e nem qualquer pessoa que viole um servidor. Nao possuimos nenhuma chave dos seus dados, o que significa que uma violacao a nos nao e uma violacao a voce. Isso nao e afirmar que o Vaultaire e a unica escolha segura. E uma afirmacao sobre arquitetura: o modelo que evita as falhas documentadas e aquele onde o provedor nunca possui sua chave e nunca coleta seus dados. Alguns outros aplicativos acertam partes disso, e os nomeamos ao longo desta auditoria. O ponto da auditoria e que voce agora pode verificar qualquer afirmacao por conta propria.
Leitura relacionada:
- Aplicativos de cofre de fotos sao seguros? A versao resumida
- O que a criptografia AES-256 realmente significa
- Criptografia zero-knowledge explicada
- O que as politicas de privacidade de armazenamento de fotos na nuvem realmente dizem
- Como a criptografia baseada em padrao faz do seu padrao a chave
Fontes
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Perguntas frequentes
Aplicativos de cofre de fotos sao realmente seguros?
Depende inteiramente do aplicativo, e a maioria e mais fraca do que parece. Em nossa auditoria de junho de 2026, 7 de 12 dos aplicativos vault iOS mais instalados declararam que rastreiam voce, e apenas 1 nomeou um algoritmo especifico em sua listagem. Uma decada de pesquisa tem encontrado repetidamente aplicativos que comercializam "criptografia" enquanto armazenam arquivos em texto claro ou por tras de ofuscacao trivial. Os seguros nomeiam um algoritmo real, nao exigem conta e nao possuem nenhuma chave dos seus dados.
Um desenvolvedor de aplicativo vault pode ver minhas fotos?
Se o aplicativo armazena suas fotos em sua propria nuvem e pode recuperar sua conta quando voce esquece a senha, entao sim: o desenvolvedor possui a chave de criptografia e pode tecnicamente acessar suas fotos, assim como qualquer pessoa que viole os servidores do desenvolvedor. Uma analise independente descobriu que este e o caso do Keepsafe. Aplicativos zero-knowledge ou somente locais nao podem ver suas fotos porque nunca possuem a chave.
O Private Photo Vault (Pic Safe) e realmente criptografado?
O Cloud Vault opcional do Private Photo Vault nomeia AES-256, que e um algoritmo real. Mas o aplicativo tem um historico documentado de fraquezas: nenhuma criptografia encontrada em 2014 (Zdziarski), invadido em menos de 30 minutos em 2015 (IOActive), e uma chave mestra estatica e nao rotacionada encontrada em 2019 (forensicmike1). Seu rotulo de privacidade atual na App Store tambem declara que ele rastreia voce e vincula suas fotos a sua identidade.
Aplicativos vault realmente usam criptografia ou apenas um PIN?
Muitos usam apenas um PIN sobre uma pasta oculta, o que nao e criptografia. Ocultar move um arquivo para um local menos visivel; o arquivo permanece legivel por qualquer pessoa que o acesse por meio de um backup ou ferramenta forense. Um estudo revisado por pares de 2022 sobre 20 aplicativos vault Android (Ruffin et al., ACM WPES) descobriu que apenas 5 tentavam criptografia real de arquivos, e 15 eram completamente recuperaveis com um simples adb pull. A criptografia real transforma o arquivo em texto cifrado que requer uma chave.
O que acontece com minhas fotos se eu excluir um aplicativo vault?
Se o aplicativo apenas ocultou os arquivos (sem criptografia), os arquivos podem permanecer no dispositivo em um local acessivel ou em backups. Se o aplicativo criptografou os arquivos localmente e voce exclui o aplicativo sem exportar, o texto cifrado pode se tornar irrecuperavel porque a chave desapareceu. Se o aplicativo usava armazenamento na nuvem, os arquivos podem persistir nos servidores do fornecedor. Verifique a documentacao de exportacao e exclusao do aplicativo antes de desinstala-lo.
Ferramentas forenses ou a policia podem contornar o PIN de um cofre de fotos?
A protecao apenas por PIN oferece pouca resistencia a ferramentas de extracao forense. Pesquisas de 2014, 2015, 2017 e 2022 mostraram que PINs de aplicativos vault eram contornados em minutos ou arquivos eram recuperados sem nenhuma autenticacao. Um PIN de 4 digitos encontrado na implementacao de 2019 do Private Photo Vault foi notado como trivialmente cracavel por forca bruta. A criptografia real de arquivos com uma funcao de derivacao de chave robusta eleva significativamente a barra; uma barreira de PIN sozinha nao faz isso.
O Keepsafe vende meus dados?
A politica de privacidade do Keepsafe e a unica em nosso conjunto de auditoria que declara explicitamente que algum compartilhamento de dados pode ser classificado pela lei da California como "venda" ou "compartilhamento" de informacoes pessoais. A politica tambem faz referencia a parceiros de publicidade. Essa e uma divulgacao que os outros aplicativos em nosso conjunto nao fizeram. Se isso constitui uma venda depende da definicao legal aplicada, mas a politica e a mais explicita da categoria neste ponto.
Qual e a diferenca entre ocultar fotos e criptografa-las?
Ocultar move um arquivo para um local menos visivel no dispositivo; o arquivo subjacente e inalterado e legivel por qualquer pessoa com acesso ao armazenamento, incluindo ferramentas de backup ou software forense. Criptografar transforma o arquivo em texto cifrado ilegivel sem a chave correta. Muitos aplicativos vault apenas ocultam. Um estudo academico de 2022 (Ruffin et al.) descobriu que 15 de 20 aplicativos vault Android populares eram recuperaveis com um adb pull basico, sem necessidade de descriptografia.
E seguro ativar o backup na nuvem em um aplicativo de cofre de fotos?
Somente se o backup for criptografado antes de sair do seu dispositivo e o provedor nao puder descriptografa-lo. Se o fornecedor puder recuperar seus arquivos quando voce perder a senha, o backup e legivel pelo fornecedor e exposto em qualquer violacao de servidor. O incidente do Firebase da Brain Craft em 2025 expos e-mails, senhas em texto simples e nomes de pastas exatamente porque o lado da nuvem nao tinha protecao. Procure arquitetura zero-knowledge com criptografia antes do upload.
Qual aplicativo de cofre de fotos nao exige conta ou acesso a internet?
Varios aplicativos funcionam totalmente offline sem conta. Em nossa auditoria, dois tinham o rotulo "Nenhum dado coletado" da Apple: Safe Lock e Secret Photo Vault Lock Photos. O Vaultaire nao exige nenhuma conta, endereco de e-mail ou conexao de rede para criptografar e armazenar arquivos. Nao exigir conta elimina completamente a superficie de ataque do repositorio de credenciais, que e exatamente a classe de exposicao que o incidente do Firebase da Brain Craft em 2025 demonstrou.