As Aplicacoes de Cofre de Fotografias sao Seguras? Uma Auditoria de Seguranca para 2026
A maioria das aplicacoes de cofre de fotografias iOS protege o ecra, nao os ficheiros. Na nossa auditoria de junho de 2026 de 12 das aplicacoes de cofre mais instaladas, apenas uma indicou um algoritmo de cifragem especifico na sua listagem da App Store, e 7 das 12 declararam que te seguem. As aplicacoes dignas de confianca sao a minoria que indica um algoritmo real, nao detem a chave dos teus dados e nao recolhe nada.
As aplicacoes de cofre de fotografias nao sao uniformemente seguras. Na nossa auditoria de junho de 2026 de 12 das aplicacoes de cofre iOS mais instaladas, 7 das 12 declararam que seguem utilizadores em aplicacoes e sites, apenas 1 indicou um algoritmo especifico na sua listagem, e uma decada de investigacao independente encontrou repetidamente aplicacoes a comercializar "encriptacao" enquanto armazenam ficheiros em texto simples ou por tras de uma ofuscacao trivial. As seguras indicam um algoritmo real, nao requerem conta e nao detêm a chave dos teus dados.
O que auditamos e o que nao testamos
Obtivemos a etiqueta App Privacy, a politica de privacidade publicada e a descricao da App Store para as aplicacoes de cofre de fotografias e ocultacao de fotografias mais bem colocadas na App Store dos EUA em junho de 2026, classificadas por posicao na loja e volume de avaliacoes. Classificamos cada aplicacao pelo seu modelo de seguranca real e cruzamos com uma decada de falhas documentadas de aplicacoes de cofre, retendo apenas os incidentes rastreaveis a uma fonte primaria ou corroborada.
Dois limites importam. Primeiro, as etiquetas de privacidade da App Store sao autodeclaradas; a Apple nao as audita, pelo que uma aplicacao pode declarar menos do que recolhe. Segundo, esta e uma analise de etiqueta, politica e arquitetura mais um registo de incidentes publicos. Nao realizamos captura de rede em direto, pelo que nao fazemos qualquer afirmacao sobre trafego que nao observamos pessoalmente. Tudo aqui e verificavel com as fontes indicadas no final desta pagina.
Descoberta 1: "Encriptacao" e normalmente uma palavra, nao um facto verificavel
A categoria funciona com base na expressao "encriptacao de grau militar". Nao significa nada por si so. O AES-256 e um padrao publico sem qualificacao militar; a expressao e marketing que sobrevive porque soa a especificacao. O que realmente importa e se uma aplicacao indica um algoritmo, um comprimento de chave e um metodo de derivacao de chave que possas avaliar.
Na auditoria das etiquetas das 12 aplicacoes, exatamente uma indicou um algoritmo especifico na sua descricao da App Store: Secret Photos KYMS, que refere "AES". Todas as outras aplicacoes disseram "encriptacao de grau militar", "armazenamento encriptado", "arquitetura de conhecimento zero", ou nao indicaram qualquer encriptacao. Analisando mais a fundo os sites e politicas de programadores de oito aplicacoes, apenas tres indicaram um algoritmo real em qualquer parte dos seus materiais oficiais: o LockMyPix indica AES-CTR, o cofre de nuvem opcional do Private Photo Vault indica AES-256, e o Calculator# divulga AES-256 com PBKDF2 a 200.000 iteracoes. Essas tres merecem credito por mostrarem o seu trabalho.
Ha uma distincao que a maioria das listagens de cofre obscurece: ocultar uma fotografia nao e o mesmo que encripta-la. Ocultar move um ficheiro para um lugar menos visivel. Encriptar transforma-o em texto cifrado inutil sem uma chave. Um ecra PIN que protege uma pasta de ficheiros comuns e uma cortina, nao uma parede. Quem aceder aos ficheiros por baixo atraves de uma copia de seguranca, uma ferramenta forense ou um comando adb entra diretamente.
Descoberta 2: As etiquetas de privacidade dizem mais do que o marketing
As etiquetas App Privacy da Apple sao a pagina mais honesta da App Store, porque mentir nelas e uma violacao de politica. E onde o texto de marketing e as praticas de dados reais deixam de concordar. A nossa auditoria de junho de 2026 concluiu que 7 das 12 aplicacoes declaram "Dados Utilizados para Te Seguir", que e o termo da Apple para dados partilhados para te seguir nas aplicacoes e sites de outras empresas. Apenas 2 das 12 trazem a etiqueta "Data Not Collected" da Apple, a atestacao de privacidade mais forte na loja: Safe Lock e Secret Photo Vault Lock Photos.
As duas aplicacoes com classificacao mais alta no conjunto, Private Photo Vault (Pic Safe) e SV Private Photo Vault PRO, sao ambas publicadas pela Legendary Software Labs e juntas tem cerca de 1,026 milhoes de avaliacoes combinadas. Ambas seguem os utilizadores e, de acordo com as suas proprias etiquetas, associam as tuas fotografias, videos e identificadores de dispositivo a tua identidade. O Best Secret Folder tem a pegada "associado a ti" mais ampla do conjunto: localizacao, informacoes de contacto completas incluindo nome, e-mail e telefone, e as tuas fotografias, video e audio, enquanto exibe anuncios. Uma aplicacao de fotografias privadas que associa as tuas fotografias a tua identidade e te segue noutras aplicacoes esta a resolver um problema diferente daquele para o qual a transferiste.
As restantes aplicacoes na auditoria contam a sua propria historia. O Private Photo Vault (Pic Safe) e o SV Private Photo Vault PRO nao indicam nenhum algoritmo nas suas listagens, usando apenas a expressao "valor secreto para encriptar/desencriptar". O Keepsafe descreve a sua encriptacao como "de grau militar" sem indicar um algoritmo. O Privault diz "armazenamento encriptado". O HiddenVault afirma "arquitetura de conhecimento zero", mas nao indica nenhum algoritmo. O Calculator# nao indica nenhum algoritmo na sua listagem da App Store. O Best Secret Folder e o Hide It Pro nao indicam nada. Apenas o KYMS indica AES, e apenas o Encamera e de codigo aberto, o que oferece um tipo diferente de verificabilidade.
Descoberta 3: Uma conta e um backend na nuvem sao uma segunda superficie de ataque
O tratamento local de ficheiros pode ser impecavel e a aplicacao pode ainda assim ter fugas, porque o backend e uma superficie de ataque separada. As aplicacoes que requerem uma conta e armazenam os teus ficheiros nos seus proprios servidores pedem-te que confies numa base de dados que nao podes inspecionar.
O Keepsafe e o exemplo mais claro desta escolha estrutural. Requer um endereco de e-mail antes de poderes usa-lo, armazena o conteudo nos seus proprios servidores, e uma analise de seguranca independente concluiu que a empresa mantem a capacidade de aceder a fotografias dos utilizadores. A sua politica de privacidade e tambem a unica no nosso conjunto que admite que alguma partilha de dados pode ser classificada ao abrigo da lei da California como venda ou partilha das tuas informacoes pessoais. E uma divulgacao que os outros nao fizeram, e diz-te quem detem a chave. Quando um fornecedor detem a chave de encriptacao, uma violacao do fornecedor e a tua violacao. O modelo que evita isto e a encriptacao de conhecimento zero, em que o fornecedor nao pode ler os teus dados porque nunca possui a chave.
O exemplo pratico do que corre mal chegou em 2025. Uma aplicacao separada chamada Photo Vault, publicada pelo programador Brain Craft, deixou a sua base de dados Firebase sem protecao por palavra-passe. A exposicao foi relatada pela Cybernews em 2025 e corroborada pelo The Dead Pixels Society. Expôs enderecos de e-mail dos utilizadores, palavras-passe em texto simples, nomes de ficheiros e pastas, e o conteudo da funcao de notas seguras da aplicacao, para uma aplicacao com cerca de 72.000 transferencias. Para ser preciso: esta aplicacao Brain Craft nao e o mesmo produto que o Private Photo Vault ou Pic Safe da Legendary Software Labs, apesar do nome semelhante. As proprias fotografias nao estavam na base de dados, mas tudo o necessario para atacar as contas estava la, incluindo palavras-passe armazenadas em texto simples, o que uma aplicacao de cofre nunca deveria possuir em forma legivel, quanto mais expor.
Descoberta 4: O SDK de publicidade dentro da aplicacao "privada"
Sete das oito politicas de privacidade que lemos faziam referencia a publicidade de terceiros. O caso de destaque e o NQ Vault, tambem distribuido como Vault-Hide, cuja politica lista seis SDKs de publicidade incorporados na aplicacao: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin e Unity. A funcao de uma rede de publicidade e construir um perfil do utilizador. Incorporar seis delas numa aplicacao cuja premissa inteira e a privacidade e a ironia definidora da categoria, e esta indicada no texto da politica, nao na nossa especulacao.
O padrao mais amplo da analise das politicas das oito aplicacoes: apenas uma das oito, o LockMyPix, se posiciona como sem publicidade no seu modelo principal. O Private Photo Vault menciona cookies e publicidade de terceiros. O Privault lista o AdMob e a analise do Umeng. O Best Secret Folder faz referencia a anuncios personalizados, Google Analytics e Firebase. O Hide It Pro faz referencia a um SDK de publicidade de terceiros. As aplicacoes que nao mantem nuvem, nao requerem conta e indicam um algoritmo sao a excecao, nao a regra.
Uma decada de falhas documentadas
Nada disto e novo. O padrao de "encriptacao" que nao e encriptacao tem sido documentado repetidamente desde 2014, por investigadores identificados e estudos com revisao por pares. O que se segue e o registo de incidentes com niveis de confianca, porque alguns destes estao melhor documentados do que outros.
Em setembro de 2014, o investigador forense Jonathan Zdziarski mostrou que o Private Photo Vault, que entao reportava mais de 3 milhoes de utilizadores, nao aplicava qualquer encriptacao alem do armazenamento iOS padrao. As fotografias podiam ser recuperadas em texto simples em cerca de cinco minutos. Este incidente e verificado com base numa fonte primaria em zdziarski.com.
Em abril de 2015, The Register e Slate relataram que o NQ Mobile Vault, que comercializava "encriptacao" e tinha mais de 10 milhoes de transferencias, aplicava uma operacao XOR de um byte apenas aos primeiros 128 bytes de cada ficheiro. Isso deixa 256 chaves possiveis e o resto de cada ficheiro em texto simples. Este incidente e verificado.
Em novembro de 2015, o investigador da IOActive Michael Allen testou o Private Photo Vault, uma aplicacao chamada "My Media" e o Keepsafe, e invadiu as tres em menos de 30 minutos cada. Os metodos incluiram PINs em texto simples armazenados em ficheiros property-list, um servidor web nao autenticado a correr na porta 5555, e palavras-passe de albums devolvidas em texto simples pelo servidor. Este incidente e verificado.
Em 2017, Zhang, Baggili e Breitinger publicaram um estudo com revisao por pares em Computers and Security (volume 70) analisando 18 aplicacoes de cofre Android com cerca de 220 milhoes de transferencias combinadas. Seis nao encriptavam as fotografias armazenadas, 7 armazenavam palavras-passe em texto simples, e 10 expunham dados ocultos sem acesso root. A investigacao ajudou a recuperar evidencias num processo criminal: 66 imagens e 18 videos. Este estudo e verificado.
Em junho de 2019, um investigador que publica como forensicmike1 concluiu que o Private Photo Vault tinha adicionado encriptacao AES via RNCryptor, mas a chave mestra estava armazenada estaticamente no iOS Keychain e nunca era rotacionada quando o utilizador alterava o PIN. Um PIN de 4 digitos tornava a chave trivialmente passivelente de ataques de forca bruta. Este incidente e verificado.
Em 2022, Ruffin e colegas publicaram um estudo com revisao por pares no ACM WPES analisando 20 aplicacoes de cofre Android populares com mais de 10 milhoes de transferencias cada. Apenas 5 das 20 tentaram encriptacao de ficheiros. 15 eram totalmente recuperaveis com um simples adb pull, e 7 armazenavam PINs ou e-mails de recuperacao em texto simples. Este estudo e verificado.
Em fevereiro de 2025, a Kaspersky relatou a campanha SparkCat: malware encontrado em aplicacoes na App Store e no Google Play que usava reconhecimento optico de caracteres no dispositivo para analisar as bibliotecas de fotografias dos utilizadores em busca de frases-semente de criptomoeda e capturas de ecra de palavras-passe, e depois exfiltrava as correspondencias. A Apple e o Google removeram as aplicacoes. Foi o primeiro ladrao de fotografias baseado em OCR conhecido por passar na revisao da App Store. Este incidente e verificado.
Dois incidentes adicionais tem verificacao parcial e devem ser lidos com essa ressalva. Uma analise de 2021 encontrou uma familia de aplicacoes de cofre no estilo de calculadora no Android que partilhavam uma unica chave AES-CBC hardcoded em cada instalacao, o que significa que uma chave conhecida desencriptava os medias de cada utilizador. Isto e parcialmente verificado, com base num unico investigador tecnicamente especifico. Separadamente, a aplicacao Vault-Hide foi sinalizadapelo Ministerio da Eletronicaa e Tecnologia de Informacao da India em 2017 por exfiltrar numeros de telefone, numeros IMEI e listas de aplicacoes instaladas, e alegadamente evitou a remocao renomeando-se a si mesma. Isto e parcialmente verificado atraves de fontes secundarias da Cybernews e da CPO Magazine.
Um ponto de dados e notavel pela sua ausencia: nao encontramos nenhum CVE atribuido a qualquer aplicacao de cofre de fotografias de consumo. A divulgacao formal mais proxima e um aviso de 2018 sobre um produto "Photo Vault" nao relacionado com um servidor WiFi nao autenticado, classificado como gravidade media (CVSS 4,8), sem CVE emitido (seclists.org Full Disclosure, janeiro de 2018). A categoria nao e formalmente rastreada, o que significa que a maioria destas falhas foi detetada por investigadores independentes fora de qualquer processo de divulgacao coordenado.
Como avaliar realmente uma aplicacao de cofre
Nao precisas de fazer engenharia inversa de nada. Cinco perguntas filtram a maioria dos riscos. Primeiro: indica um algoritmo? "AES-256" ou "AES-GCM" e uma afirmacao que podes verificar. "De grau militar" nao e. Segundo: requer uma conta? Um e-mail e palavra-passe criam um repositorio de credenciais que pode ter fugas, como o incidente Firebase da Brain Craft mostrou. Terceiro: se faz copia de seguranca para a nuvem, quem detem a chave? Se o fornecedor pode repor a tua palavra-passe e recuperar as tuas fotografias, o fornecedor pode ler as tuas fotografias, bem como qualquer pessoa que viole o fornecedor.
Quarto: o que dizem a etiqueta App Privacy e a politica? Abre a seccao App Privacy. Se te segue ou associa as tuas fotografias a tua identidade, acredita. Le a politica para detetar referencias a SDKs de publicidade. Quinto: e auditavel? "Data Not Collected", algoritmos indicados com detalhes de derivacao de chaves e codigo de fonte aberta sao sinais de que uma aplicacao espera ser escrutinada. As aplicacoes que nao podem ser verificadas estao a contar com o facto de tu nao as verificares.
Onde o Vaultaire se enquadra nesta panoramica
Construimos o Vaultaire em torno das classes de falhas especificas documentadas acima, pelo que e justo que sejamos medidos por elas em vez de pelo marketing. O Vaultaire deriva a tua chave de encriptacao AES-256-GCM de um padrao 5 por 5 que desenhas; o padrao gera a chave e nunca e armazenado, pelo que nao ha ficheiro de palavra-passe para vazar e nada num servidor para ser alvo de ataques de forca bruta. Nao ha conta, o que significa que nao ha endereco de e-mail e nao ha repositorio de credenciais. E exatamente o que vazou no incidente Firebase da Brain Craft.
O Vaultaire e de conhecimento zero: os teus ficheiros e chaves nunca saem do dispositivo de forma legivel. A copia de seguranca opcional do iCloud e encriptada antes de sair do teu telefone, pelo que nao podemos le-la, nem qualquer pessoa que viole um servidor. Nao detemos qualquer chave dos teus dados, o que significa que uma violacao de nos nao e uma violacao de ti. Isso nao e uma afirmacao de que o Vaultaire e a unica escolha segura. E uma afirmacao sobre arquitetura: o modelo que evita as falhas documentadas e aquele em que o fornecedor nunca detem a tua chave e nunca recolhe os teus dados. Algumas outras aplicacoes acertam em partes disto, e referimo-las ao longo desta auditoria. O objetivo da auditoria e que agora possas verificar qualquer afirmacao tu mesmo.
Leitura relacionada:
- As aplicacoes de cofre de fotografias sao seguras? A versao resumida
- O que a encriptacao AES-256 realmente significa
- Encriptacao de conhecimento zero, explicada
- O que as politicas de privacidade de armazenamento de fotografias na nuvem realmente dizem
- Como a encriptacao baseada em padrao torna o teu padrao a chave
Fontes
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Perguntas Frequentes
As aplicacoes de cofre de fotografias sao realmente seguras?
Depende inteiramente da aplicacao, e a maioria e mais fraca do que aparenta. Na nossa auditoria de junho de 2026, 7 das 12 aplicacoes de cofre iOS mais instaladas declararam que te seguem, e apenas 1 indicou um algoritmo especifico na sua listagem. Uma decada de investigacao encontrou repetidamente aplicacoes que comercializam "encriptacao" enquanto armazenam ficheiros em texto simples ou por tras de uma ofuscacao trivial. As seguras indicam um algoritmo real, nao requerem conta e nao detêm a chave dos teus dados.
Pode o programador de uma aplicacao de cofre ver as minhas fotografias?
Se a aplicacao armazenar as tuas fotografias na sua propria nuvem e puder recuperar a tua conta quando esqueceres a palavra-passe, entao sim: o programador detem a chave de encriptacao e pode tecnicamente aceder as tuas fotografias, assim como qualquer pessoa que viole os servidores do programador. Uma analise independente concluiu que este e o caso do Keepsafe. As aplicacoes de conhecimento zero ou apenas locais nao podem ver as tuas fotografias porque nunca detêm a chave.
O Private Photo Vault (Pic Safe) esta realmente encriptado?
O Cloud Vault opcional do Private Photo Vault indica AES-256, que e um algoritmo real. Mas a aplicacao tem um historico documentado de fraquezas: nenhuma encriptacao encontrada em 2014 (Zdziarski), invadida em menos de 30 minutos em 2015 (IOActive), e uma chave mestra estatica e nao rotacionada encontrada em 2019 (forensicmike1). A sua etiqueta de privacidade atual na App Store tambem declara que te segue e associa as tuas fotografias a tua identidade.
As aplicacoes de cofre de fotografias usam realmente encriptacao, ou apenas um PIN?
Muitas usam apenas um PIN sobre uma pasta oculta, o que nao e encriptacao. Ocultar move um ficheiro para uma localizacao menos visivel; o ficheiro permanece legivel por qualquer pessoa que o alcance atraves de uma copia de seguranca ou ferramenta forense. Um estudo com revisao por pares de 2022 sobre 20 aplicacoes de cofre Android (Ruffin et al., ACM WPES) concluiu que apenas 5 tentaram encriptacao real de ficheiros, e 15 eram totalmente recuperaveis com um simples adb pull. A encriptacao real transforma o ficheiro em texto cifrado que requer uma chave.
O que acontece as minhas fotografias se eu eliminar uma aplicacao de cofre?
Se a aplicacao apenas ocultou os ficheiros (sem encriptacao), os ficheiros podem permanecer no dispositivo numa localizacao acessivel ou em copias de seguranca. Se a aplicacao encriptou os ficheiros localmente e eliminares a aplicacao sem exportar, o texto cifrado pode tornar-se irrecuperavel porque a chave desapareceu. Se a aplicacao usou armazenamento na nuvem, os ficheiros podem persistir nos servidores do fornecedor. Verifica a documentacao de exportacao e eliminacao da aplicacao antes de a desinstalar.
Ferramentas forenses ou a policia podem contornar um PIN de aplicacao de cofre de fotografias?
A protecao apenas por PIN oferece pouca resistencia as ferramentas de extracao forense. Investigacoes de 2014, 2015, 2017 e 2022 mostraram PINs de aplicacoes de cofre contornados em minutos ou ficheiros recuperados sem qualquer autenticacao. Um PIN de 4 digitos encontrado na implementacao de 2019 do Private Photo Vault foi assinalado como trivialmente passivelente de ataques de forca bruta. A encriptacao real de ficheiros com uma funcao de derivacao de chave forte eleva significativamente a fasquia; uma barreira de PIN por si so nao o faz.
O Keepsafe vende os meus dados?
A politica de privacidade do Keepsafe e a unica no nosso conjunto de auditoria que afirma explicitamente que alguma partilha de dados pode ser classificada ao abrigo da lei da California como "venda" ou "partilha" de informacoes pessoais. A politica tambem faz referencia a parceiros de publicidade. E uma divulgacao que as outras aplicacoes do nosso conjunto nao fizeram. Se isso constitui uma venda depende da definicao juridica aplicada, mas a politica e a mais explicita na categoria sobre este ponto.
Qual e a diferenca entre ocultar fotografias e encripta-las?
Ocultar move um ficheiro para um lugar menos visivel no dispositivo; o ficheiro subjacente e inalterado e legivel por qualquer pessoa com acesso ao armazenamento, incluindo ferramentas de copia de seguranca ou software forense. Encriptar transforma o ficheiro em texto cifrado que e illegivel sem a chave correta. Muitas aplicacoes de cofre apenas ocultam. Um estudo academico de 2022 (Ruffin et al.) concluiu que 15 das 20 aplicacoes de cofre Android populares podiam ser recuperadas com um adb pull basico, sem necessidade de desencriptacao.
E seguro ativar a copia de seguranca na nuvem numa aplicacao de cofre de fotografias?
Apenas se a copia de seguranca for encriptada antes de sair do teu dispositivo e o fornecedor nao puder desencripta-la. Se o fornecedor puder recuperar os teus ficheiros quando perdes a tua palavra-passe, a copia de seguranca e legivel pelo fornecedor e exposta em qualquer violacao de servidor. O incidente Firebase da Brain Craft em 2025 expôs e-mails, palavras-passe em texto simples e nomes de pastas precisamente porque o lado da nuvem nao tinha protecao. Procura arquitetura de conhecimento zero com encriptacao antes do carregamento.
Qual aplicacao de cofre de fotografias nao requer conta ou acesso a internet?
Varias aplicacoes funcionam totalmente offline sem conta. Na nossa auditoria, duas tinham a etiqueta "Data Not Collected" da Apple: Safe Lock e Secret Photo Vault Lock Photos. O Vaultaire nao requer conta, endereco de e-mail nem ligacao de rede para encriptar e armazenar ficheiros. Nao exigir conta elimina por completo a superficie de ataque do repositorio de credenciais, que e exatamente a classe de exposicao que o incidente Firebase da Brain Craft em 2025 demonstrou.