Безопасны ли приложения-сейфы для фото? Аудит безопасности 2026 года
Большинство iOS-приложений-сейфов для фото защищают экран, а не файлы. В ходе нашего аудита в июне 2026 года 12 наиболее устанавливаемых приложений-сейфов только одно назвало конкретный алгоритм шифрования в своём листинге в App Store, а 7 из 12 задекларировали отслеживание пользователей. Достойны доверия лишь те, кто составляет меньшинство: называют реальный алгоритм, не хранят ключ к вашим данным и ничего не собирают.
Приложения-сейфы для фото не являются одинаково безопасными. В ходе нашего аудита в июне 2026 года 12 наиболее устанавливаемых iOS-приложений-сейфов 7 из 12 задекларировали отслеживание пользователей в разных приложениях и на сайтах, только 1 назвало конкретный алгоритм в листинге, и десятилетие независимых исследований неоднократно выявляло приложения, рекламирующие «шифрование» при хранении файлов в открытом виде или за тривиальной обфускацией. Безопасные приложения называют реальный алгоритм, не требуют аккаунта и не хранят ключ к вашим данным.
Что мы проверяли и что не тестировали
Мы загружали метку App Privacy, опубликованную политику конфиденциальности и описание в App Store для ведущих приложений-сейфов и приложений для скрытия фотографий в американском App Store в июне 2026 года, ранжированных по позиции в магазине и объёму оценок. Мы классифицировали каждое приложение по его реальной модели безопасности и сопоставили с десятилетием задокументированных сбоев приложений-сейфов, оставив только инциденты, прослеживаемые до первичного или подтверждённого источника.
Два ограничения важны. Во-первых, метки конфиденциальности в App Store заполняются самостоятельно; Apple не проверяет их, поэтому приложение может декларировать меньше, чем собирает. Во-вторых, это обзор меток, политик и архитектуры плюс реестр публичных инцидентов. Мы не запускали живой захват сетевого трафика, поэтому не делаем никаких заявлений о трафике, который лично не наблюдали. Всё здесь проверяемо по источникам, перечисленным внизу этой страницы.
Вывод 1: «Шифрование» - обычно слово, а не проверяемый факт
Вся категория строится на словосочетании «шифрование военного уровня». Само по себе это ничего не значит. AES-256 - публичный стандарт без какого-либо военного уровня; это маркетинг, который выживает, потому что звучит как спецификация. Что действительно важно - называет ли приложение алгоритм, длину ключа и метод извлечения ключа, которые можно оценить.
Среди всех 12 приложений в листинге App Store только одно назвало конкретный алгоритм: Secret Photos KYMS, которое указывает «AES». Каждое другое приложение либо говорило «шифрование военного уровня», «зашифрованное хранилище», «архитектура Zero-Knowledge», либо вообще не называло никакого шифрования. При более детальном изучении сайтов и политик восьми разработчиков только три где-либо в своих официальных материалах назвали реальный алгоритм: LockMyPix называет AES-CTR, необязательное облачное хранилище Private Photo Vault называет AES-256, а Calculator# раскрывает AES-256 с PBKDF2 при 200 000 итерациях. Эти три заслуживают признания за прозрачность.
Существует различие, которое большинство листингов сейфов размывают: скрыть фото - это не то же самое, что зашифровать его. Скрытие перемещает файл в менее заметное место. Шифрование преобразует его в зашифрованный текст, бесполезный без ключа. Экран с PIN-кодом, закрывающий папку с обычными файлами, - это занавеска, а не стена. Любой, кто доберётся до файлов через резервную копию, криминалистический инструмент или команду adb, войдёт беспрепятственно.
Вывод 2: Метки конфиденциальности говорят больше, чем маркетинг
Метки App Privacy от Apple - самая честная страница в App Store, потому что их фальсификация является нарушением политики. Именно здесь маркетинговый текст и реальные практики работы с данными расходятся. Наш аудит в июне 2026 года показал, что 7 из 12 приложений декларируют «Данные, используемые для отслеживания» - термин Apple для данных, которые передаются для отслеживания вас в приложениях и на сайтах других компаний. Только 2 из 12 имеют метку Apple «Данные не собираются», что является наиболее строгим подтверждением конфиденциальности в магазине: Safe Lock и Secret Photo Vault Lock Photos.
Два наиболее высоко оцениваемых приложения в наборе, Private Photo Vault (Pic Safe) и SV Private Photo Vault PRO, оба опубликованы Legendary Software Labs и в совокупности имеют примерно 1,026 миллиона оценок. Оба отслеживают пользователей и, согласно своим меткам, связывают ваши фотографии, видео и идентификаторы устройств с вашей личностью. Best Secret Folder имеет наиболее широкий след «связанных с вами» данных в наборе: местоположение, полные контактные данные, включая имя, электронную почту и телефон, а также ваши фотографии, видео и аудио, при этом показывая рекламу. Приложение для личных фотографий, которое связывает ваши фотографии с вашей личностью и отслеживает вас в других приложениях, решает другую задачу, чем та, для которой вы его скачали.
Остальные приложения в аудите рассказывают собственную историю. Private Photo Vault (Pic Safe) и SV Private Photo Vault PRO не называют алгоритм в своих листингах, используя только фразу «секретное значение для шифрования/дешифрования». Keepsafe описывает своё шифрование как «военного уровня», не называя алгоритм. Privault говорит «зашифрованное хранилище». HiddenVault утверждает «архитектуру Zero-Knowledge», но не называет никакого алгоритма. Calculator# не называет алгоритм в листинге App Store. Best Secret Folder и Hide It Pro не называют ничего. Только KYMS называет AES, и только Encamera является открытым исходным кодом, что обеспечивает другой вид проверяемости.
Вывод 3: Аккаунт и облачный бэкенд - вторая поверхность атаки
Локальная обработка файлов может быть безупречной, и всё равно приложение может утечь, потому что бэкенд - это отдельная поверхность атаки. Приложения, которые требуют аккаунта и хранят ваши файлы на своих серверах, просят вас доверять базе данных, которую вы не можете проверить.
Keepsafe - наиболее яркий пример этого структурного выбора. Оно требует адрес электронной почты перед использованием, хранит контент на собственных серверах, и независимый анализ безопасности установил, что компания сохраняет возможность доступа к фотографиям пользователей. Политика конфиденциальности Keepsafe - единственная в нашем наборе, которая признаёт, что некоторый обмен данными может быть квалифицирован по законодательству Калифорнии как продажа или передача персональных данных. Это раскрытие информации, которого другие не делали, и оно говорит вам, кто владеет ключом. Когда поставщик владеет ключом шифрования, взлом поставщика - это ваш взлом. Модель, которая позволяет избежать этого, - шифрование с нулевым разглашением, при котором провайдер не может читать ваши данные, поскольку никогда не владеет ключом.
Наглядный пример того, что может пойти не так, появился в 2025 году. Отдельное приложение Photo Vault, опубликованное разработчиком Brain Craft, оставило свою базу данных Firebase без защиты паролем. Об этом сообщил Cybernews в 2025 году, что подтвердил The Dead Pixels Society. Были раскрыты адреса электронной почты пользователей, пароли в открытом виде, имена файлов и папок, а также содержимое функции защищённых заметок приложения, имеющего примерно 72 000 загрузок. Уточним: это приложение Brain Craft - не тот же продукт, что Private Photo Vault или Pic Safe от Legendary Software Labs, несмотря на схожее название. Сами фотографии не находились в базе данных, но там было всё необходимое для атаки на аккаунты, включая пароли в открытом виде, которыми приложение-сейф никогда не должно владеть в читаемом виде, не говоря уже об их раскрытии.
Вывод 4: Рекламный SDK внутри «приватного» приложения
Семь из восьми прочитанных нами политик конфиденциальности ссылались на рекламу третьих сторон. Выделяется NQ Vault, также распространяемый как Vault-Hide, в политике которого перечислены шесть рекламных SDK, встроенных в приложение: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin и Unity. Задача рекламной сети - составить профиль пользователя. Встроить шесть из них в приложение, весь смысл которого состоит в конфиденциальности, - это определяющая ирония категории, и это заявлено в тексте политики, а не в наших домыслах.
Более широкая картина из обзора восьми политик: только одно из восьми приложений, LockMyPix, позиционирует себя как не содержащее рекламы в базовой модели. Private Photo Vault упоминает сторонние файлы cookie и рекламу. Privault перечисляет AdMob и аналитику Umeng. Best Secret Folder ссылается на персонализированную рекламу, Google Analytics и Firebase. Hide It Pro ссылается на сторонний рекламный SDK. Приложения, которые не используют облако, не требуют аккаунта и называют алгоритм, - это исключение, а не правило.
Десятилетие задокументированных сбоев
Это не ново. Паттерн «шифрования», которое не является шифрованием, документируется с 2014 года - поимёнными исследователями и рецензируемыми исследованиями. Ниже приведён реестр инцидентов с уровнями достоверности, поскольку некоторые из них имеют более надёжную источниковую базу, чем другие.
В сентябре 2014 года криминалистический исследователь Джонатан Здзярски показал, что Private Photo Vault, тогда насчитывавший более 3 миллионов пользователей, не применял никакого шифрования помимо стандартного хранилища iOS. Фотографии можно было восстановить в открытом виде примерно за пять минут. Этот инцидент подтверждён первичным источником на zdziarski.com.
В апреле 2015 года The Register и Slate сообщили, что NQ Mobile Vault, рекламировавший «шифрование» и имевший более 10 миллионов загрузок, применял однобайтовую операцию XOR только к первым 128 байтам каждого файла. Это оставляет 256 возможных ключей и остаток каждого файла в открытом виде. Этот инцидент подтверждён.
В ноябре 2015 года исследователь IOActive Майкл Аллен протестировал Private Photo Vault, приложение «My Media» и Keepsafe и взломал все три менее чем за 30 минут каждое. Методы включали PIN-коды в открытом виде, хранящиеся в файлах списков свойств, неаутентифицированный веб-сервер на порту 5555 и пароли альбомов, возвращаемые в открытом виде с сервера. Этот инцидент подтверждён.
В 2017 году Чжан, Баггили и Брейтинген опубликовали рецензируемое исследование в Computers and Security (том 70), анализируя 18 приложений-сейфов для Android с примерно 220 миллионами загрузок в совокупности. Шесть не шифровали хранимые фотографии, 7 хранили пароли в открытом виде, и 10 раскрывали скрытые данные без root-доступа. Исследование помогло восстановить улики в уголовном деле: 66 изображений и 18 видео. Это исследование подтверждено.
В июне 2019 года исследователь, публикующийся как forensicmike1, обнаружил, что Private Photo Vault добавил шифрование AES через RNCryptor, но мастер-ключ хранился статически в iOS Keychain и никогда не ротировался при смене PIN-кода пользователем. Четырёхзначный PIN делал ключ тривиально уязвимым для перебора. Этот инцидент подтверждён.
В 2022 году Руффин и коллеги опубликовали рецензируемое исследование на ACM WPES, анализируя 20 популярных приложений-сейфов для Android с более чем 10 миллионами загрузок каждое. Только 5 из 20 пытались реализовать шифрование файлов. 15 полностью восстанавливались простой командой adb pull, а 7 хранили PIN-коды или адреса электронной почты для восстановления в открытом виде. Это исследование подтверждено.
В феврале 2025 года Kaspersky сообщил о кампании SparkCat: вредоносное ПО, обнаруженное в приложениях как в App Store, так и в Google Play, использовало оптическое распознавание символов на устройстве для сканирования фотобиблиотек пользователей на предмет начальных фраз криптовалют и скриншотов паролей, а затем экфильтровало совпадения. Apple и Google удалили приложения. Это был первый OCR-основанный похититель фотографий, известный прошедшим проверку App Store. Этот инцидент подтверждён.
Два дополнительных инцидента имеют частичное подтверждение и должны читаться с этой оговоркой. Анализ 2021 года обнаружил семейство приложений-сейфов в стиле калькулятора на Android, использующих единый жёстко закодированный ключ AES-CBC во всех установках, что означает, что один известный ключ расшифровывает медиафайлы каждого пользователя. Это частично подтверждено одним технически конкретным исследователем. Отдельно, приложение Vault-Hide было отмечено Министерством электроники и информационных технологий Индии в 2017 году за экфильтрацию номеров телефонов, IMEI-номеров и списков установленных приложений, и, по имеющимся сведениям, избежало удаления путём переименования. Это частично подтверждено через вторичные источники Cybernews и CPO Magazine.
Одна точка данных примечательна своим отсутствием: мы не нашли ни одного CVE, присвоенного потребительскому приложению-сейфу для фото. Наиболее близкое формальное раскрытие - предупреждение 2018 года о несвязанном продукте «Photo Vault» с неаутентифицированным WiFi-сервером, оценённым как средняя серьёзность (CVSS 4.8), без присвоения CVE (seclists.org Full Disclosure, январь 2018). Категория формально не отслеживается, что означает, что большинство этих сбоев было обнаружено независимыми исследователями вне какого-либо скоординированного процесса раскрытия.
Как на самом деле оценить приложение-сейф
Вам не нужно ничего реверс-инженирировать. Пять вопросов отфильтруют большинство рисков. Первый: называет ли оно алгоритм? «AES-256» или «AES-GCM» - это утверждение, которое можно проверить. «Военного уровня» - нет. Второй: требуется ли аккаунт? Электронная почта и пароль создают хранилище учётных данных, которое может утечь, как показал инцидент Firebase с Brain Craft. Третий: если оно делает резервные копии в облако, кто хранит ключ? Если поставщик может сбросить ваш пароль и восстановить ваши фотографии, поставщик может читать ваши фотографии, как и любой, кто взломает поставщика.
Четвёртый: что говорят метка App Privacy и политика? Откройте раздел App Privacy. Если оно отслеживает вас или связывает ваши фотографии с вашей личностью - верьте этому. Читайте политику на предмет раскрытия информации о рекламных SDK. Пятый: поддаётся ли оно проверке? «Данные не собираются», названные алгоритмы с деталями извлечения ключей и открытый исходный код - всё это сигналы того, что приложение ожидает проверки. Приложения, которые нельзя проверить, рассчитывают на то, что вы не будете проверять.
Где Vaultaire вписывается в эту картину
Мы разработали Vaultaire вокруг конкретных классов сбоев, задокументированных выше, поэтому справедливо измерять нас по ним, а не по маркетингу. Vaultaire выводит ключ шифрования AES-256-GCM из паттерна 5 на 5, который вы рисуете; паттерн генерирует ключ и никогда не сохраняется, поэтому нет файла паролей, который мог бы утечь, и ничего на сервере для перебора. Нет аккаунта, а значит нет адреса электронной почты и нет хранилища учётных данных. Это именно то, что утекло в инциденте с Brain Craft.
Vaultaire работает с нулевым разглашением: ваши файлы и ключи никогда не покидают устройство в читаемом виде. Необязательная резервная копия iCloud шифруется до того, как покидает ваш телефон, поэтому ни мы, ни кто-либо, взломавший сервер, не может её прочитать. Мы не владеем ключом к вашим данным, а это означает, что взлом нас - не взлом вас. Это не утверждение, что Vaultaire - единственный безопасный выбор. Это утверждение об архитектуре: модель, которая позволяет избежать задокументированных сбоев, - это модель, при которой провайдер никогда не владеет вашим ключом и никогда не собирает ваши данные. Несколько других приложений правильно реализуют отдельные части этого, и мы называли их на протяжении всего аудита. Смысл аудита в том, что теперь вы можете самостоятельно проверить любое утверждение.
Читайте также:
- Безопасны ли приложения-сейфы для фото? Краткая версия
- Что на самом деле означает шифрование AES-256
- Шифрование с нулевым разглашением, объяснение
- Что на самом деле говорят политики конфиденциальности облачного хранения фото
- Как шифрование на основе паттерна делает ваш паттерн ключом
Источники
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Часто задаваемые вопросы
Действительно ли приложения-сейфы для фото безопасны?
Это полностью зависит от приложения, и большинство из них слабее, чем кажется. В нашем аудите в июне 2026 года 7 из 12 наиболее устанавливаемых iOS-приложений-сейфов задекларировали, что отслеживают вас, и только 1 назвало конкретный алгоритм в листинге. Десятилетие исследований неоднократно выявляло приложения, рекламирующие «шифрование» при хранении файлов в открытом виде или за тривиальной обфускацией. Безопасные приложения называют реальный алгоритм, не требуют аккаунта и не хранят ключ к вашим данным.
Может ли разработчик приложения-сейфа видеть мои фотографии?
Если приложение хранит ваши фотографии в собственном облаке и может восстановить ваш аккаунт при забытом пароле, то да: разработчик владеет ключом шифрования и технически может получить доступ к вашим фотографиям, как и любой, кто взломает серверы разработчика. Независимый анализ установил, что именно так обстоит дело с Keepsafe. Приложения с нулевым разглашением или только локальные не могут видеть ваши фотографии, поскольку никогда не владеют ключом.
Private Photo Vault (Pic Safe) действительно зашифрован?
Необязательный Cloud Vault приложения Private Photo Vault называет AES-256, что является реальным алгоритмом. Однако у приложения есть задокументированная история слабостей: отсутствие шифрования обнаружено в 2014 году (Зздзярски), взломано менее чем за 30 минут в 2015 году (IOActive) и статичный, нерегулируемый мастер-ключ обнаружен в 2019 году (forensicmike1). Текущая метка конфиденциальности в App Store также декларирует, что оно отслеживает вас и связывает ваши фотографии с вашей личностью.
Приложения-сейфы для фото действительно используют шифрование или только PIN-код?
Многие используют только PIN-код для скрытой папки, что не является шифрованием. Скрытие перемещает файл в менее заметное место; файл остаётся читаемым для любого, кто доберётся до него через резервную копию или криминалистический инструмент. Рецензируемое исследование 2022 года, охватившее 20 приложений-сейфов для Android (Ruffin et al., ACM WPES), показало, что только 5 попытались реализовать настоящее шифрование файлов, и 15 полностью восстанавливались простой командой adb pull. Настоящее шифрование преобразует файл в зашифрованный текст, требующий ключа.
Что произойдёт с моими фотографиями, если я удалю приложение-сейф?
Если приложение только скрыло файлы (без шифрования), они могут остаться на устройстве в доступном месте или в резервных копиях. Если приложение шифровало файлы локально, и вы удаляете его без экспорта, зашифрованный текст может стать невосстановимым, поскольку ключ исчез. Если приложение использовало облачное хранилище, файлы могут оставаться на серверах поставщика. Проверьте документацию по экспорту и удалению перед удалением приложения.
Могут ли криминалистические инструменты или полиция обойти PIN-код приложения-сейфа?
Защита только PIN-кодом практически не сопротивляется инструментам криминалистического извлечения. Исследования 2014, 2015, 2017 и 2022 годов показали, что PIN-коды приложений-сейфов обходились за минуты или файлы восстанавливались без какой-либо аутентификации. Четырёхзначный PIN-код, обнаруженный в реализации Private Photo Vault 2019 года, был отмечен как тривиально уязвимый для перебора. Настоящее шифрование файлов с сильной функцией извлечения ключей значительно повышает планку; PIN-ограждение само по себе этого не делает.
Продаёт ли Keepsafe мои данные?
Политика конфиденциальности Keepsafe - единственная в нашем аудите, которая прямо указывает, что некоторый обмен данными может быть квалифицирован по законодательству Калифорнии как «продажа» или «передача» персональных данных. Политика также ссылается на рекламных партнёров. Это раскрытие, которого другие приложения в нашем наборе не делали. То, является ли это продажей, зависит от применяемого юридического определения, но политика наиболее однозначна в категории по этому пункту.
В чём разница между скрытием фотографий и их шифрованием?
Скрытие перемещает файл в менее заметное место на устройстве; основной файл остаётся неизменным и читаемым для любого, у кого есть доступ к хранилищу, включая инструменты резервного копирования или криминалистическое программное обеспечение. Шифрование преобразует файл в зашифрованный текст, нечитаемый без правильного ключа. Многие приложения-сейфы только скрывают. Академическое исследование 2022 года (Ruffin et al.) показало, что 15 из 20 популярных приложений-сейфов для Android восстанавливались базовой командой adb pull без необходимости дешифрования.
Безопасно ли включать облачное резервное копирование в приложении-сейфе?
Только если резервная копия шифруется до того, как покидает ваше устройство, и провайдер не может её расшифровать. Если поставщик может восстановить ваши файлы при утере пароля, резервная копия читаема поставщику и открыта при любом взломе сервера. Инцидент Firebase с Brain Craft 2025 года раскрыл электронные письма, пароли в открытом виде и имена папок именно потому, что облачная сторона не имела никакой защиты. Ищите архитектуру с нулевым разглашением с шифрованием до загрузки.
Какое приложение-сейф для фото не требует аккаунта или доступа в Интернет?
Несколько приложений полностью работают в офлайн-режиме без аккаунта. В нашем аудите два приложения несли метку Apple «Данные не собираются»: Safe Lock и Secret Photo Vault Lock Photos. Vaultaire не требует аккаунта, адреса электронной почты и сетевого подключения для шифрования и хранения файлов. Отсутствие требования аккаунта полностью устраняет поверхность атаки хранилища учётных данных, что является именно тем классом раскрытия, который продемонстрировал инцидент Firebase с Brain Craft в 2025 году.