Är fotovalvappar säkra? En säkerhetsgranskning 2026
De flesta iOS-fotovalvappar skyddar skärmen, inte filerna. I vår granskning i juni 2026 av 12 av de mest installerade valvapparna angav bara en ett specifikt krypteringsalgoritm i sin App Store-lista, och 7 av 12 deklarerade att de spårar dig. De appar som är värda att lita på är de fåtal som anger ett riktigt algoritm, inte innehar någon nyckel till dina data och inte samlar in något.
Fotovalvappar är inte likformigt säkra. I vår granskning i juni 2026 av 12 av de mest installerade iOS-valvapparna deklarerade 7 av 12 att de spårar användare över appar och webbplatser, bara 1 angav ett specifikt algoritm i sin lista, och ett decennium av oberoende forskning har upprepade gånger hittat appar som marknadsför "kryptering" medan filer lagras i klartext eller bakom trivial fördunkling. De säkra anger ett riktigt algoritm, kräver inget konto och innehar ingen nyckel till dina data.
Vad vi granskade och vad vi inte testade
Vi hämtade App Privacy-etiketten, den publicerade integritetspolicyn och App Store-beskrivningen för de bästa fotovalv- och fotoömörjningsapparna i den amerikanska App Store i juni 2026, rangordnade efter butiksposition och betygsvolym. Vi klassificerade varje app efter dess faktiska säkerhetsmodell och korsreferenserade ett decennium av dokumenterade valvappfel, och behöll bara incidenter som kan spåras till en primär eller bekräftad källa.
Två begränsningar är viktiga. För det första är App Store-integritetslappar självrapporterade; Apple granskar dem inte, så en app kan deklarera mindre än vad den faktiskt samlar in. För det andra är detta en granskning av lappar, policyer och arkitektur plus ett offentligt incidentregister. Vi körde ingen realtidsnätverksinspelning, så vi gör inga påståenden om trafik vi inte personligen observerade. Allt här är kontrollerbart mot källorna som anges längst ner på den här sidan.
Fynd 1: "Kryptering" är vanligtvis ett ord, inte ett verifierbart faktum
Kategorin bygger på frasen "militärgradskryptering". Den betyder ingenting på egen hand. AES-256 är en offentlig standard utan militärgrad; frasen är marknadsföring som överlever för att den låter som en specifikation. Det som faktiskt spelar roll är om en app namnger ett algoritm, en nyckellängd och en nyckelderivationsmetod som du kan utvärdera.
Av de 12 apparnas etiketter angav exakt en app ett specifikt algoritm i sin App Store-beskrivning: Secret Photos KYMS, som säger "AES". Varje annan app sa antingen "militärgradskryptering", "krypterad lagring", "Zero-Knowledge-arkitektur" eller angav ingen kryptering alls. Vid en djupare titt på åtta apputvecklares webbplatser och policyer angav bara tre ett riktigt algoritm någonstans i sina officiella material: LockMyPix anger AES-CTR, Private Photo Vaults valfria molnvalv anger AES-256, och Calculator# avslöjar AES-256 med PBKDF2 vid 200 000 iterationer. De tre förtjänar erkännande för att visa sitt arbete.
Det finns en distinktion som de flesta valvlistor suddar ut: att dölja ett foto är inte att kryptera det. Att dölja flyttar en fil till en mindre synlig plats. Att kryptera omvandlar den till chiffertext som är oanvändbar utan en nyckel. En PIN-skärm som skyddar en mapp med vanliga filer är en gardin, inte en vägg. Alla som når de underliggande filerna via en säkerhetskopia, ett kriminaltekniskt verktyg eller ett adb-kommando går rakt in.
Fynd 2: Integritetslappar säger mer än marknadsföringen gör
Apples App Privacy-lappar är den mest ärliga sidan i App Store, eftersom det är en policyöverträdelse att ljuga på dem. Det är här marknadsföringstexten och de faktiska datapraktikerna slutar att stämma överens. Vår granskning i juni 2026 visade att 7 av de 12 apparna deklarerar "Data som används för att spåra dig", vilket är Apples term för data som delas för att spåra dig i andra företags appar och webbplatser. Bara 2 av 12 bär Apples etikett "Inga data samlas in", den starkaste integritetsattesteringen i butiken: Safe Lock och Secret Photo Vault Lock Photos.
De två bäst betygsatta apparna i urvalet, Private Photo Vault (Pic Safe) och SV Private Photo Vault PRO, är båda publicerade av Legendary Software Labs och har tillsammans ungefär 1,026 miljoner kombinerade betyg. Båda spårar användare och, enligt sina egna lappar, kopplar dina foton, videor och enhetsidentifierare till din identitet. Best Secret Folder har det bredaste "kopplat till dig"-fotavtrycket i urvalet: plats, fullständig kontaktinformation inklusive namn, e-post och telefon, och dina foton, video och ljud, medan de kör annonser. En app för privata foton som kopplar dina foton till din identitet och spårar dig i andra appar löser ett annat problem än det du laddade ned den för.
De återstående apparna i granskningen berättar sina egna historier. Private Photo Vault (Pic Safe) och SV Private Photo Vault PRO anger inget algoritm i sina listor och använder bara frasen "hemligt värde för att kryptera/dekryptera". Keepsafe beskriver sin kryptering som "militärgrad" utan att ange ett algoritm. Privault säger "krypterad lagring". HiddenVault hävdar "Zero-Knowledge-arkitektur" men anger inget algoritm. Calculator# anger inget algoritm i sin App Store-lista. Best Secret Folder och Hide It Pro anger ingenting alls. Bara KYMS anger AES, och bara Encamera är öppen källkod, vilket erbjuder en annan typ av verifierbarhet.
Fynd 3: Ett konto och en molnserver är en andra attackyta
Den lokala filhanteringen kan vara felfri och appen kan ändå läcka, eftersom serverdelen är en separat attackyta. Appar som kräver ett konto och lagrar dina filer på sina egna servrar ber dig att lita på en databas du inte kan inspektera.
Keepsafe är det tydligaste exemplet på det strukturella valet. Det kräver en e-postadress innan du kan använda det, lagrar innehåll på egna servrar, och en oberoende säkerhetsanalys fann att företaget behåller möjligheten att komma åt användarfoton. Dess integritetspolicy är också den enda i vårt urval som medger att viss datadelning kan klassificeras enligt Kaliforniens lag som försäljning eller delning av personuppgifter. Det är ett avslöjande de andra inte gjorde, och det berättar vem som innehar nyckeln. När en leverantör innehar krypteringsnyckeln är ett intrång hos leverantören ett intrång hos dig. Den modell som undviker detta är zero-knowledge-kryptering, där leverantören inte kan läsa dina data eftersom han aldrig äger nyckeln.
Det konkreta exemplet på vad som kan gå fel kom 2025. En separat app vid namn Photo Vault, publicerad av utvecklaren Brain Craft, lämnade sin Firebase-databas utan lösenordsskydd. Exponeringen rapporterades av Cybernews 2025 och bekräftades av The Dead Pixels Society. Den exponerade användarens e-postadresser, lösenord i klartext, fil- och mappnamn och innehållet i appens funktion för säkra anteckningar, för en app med ungefär 72 000 nedladdningar. För att vara precis: den här Brain Craft-appen är inte samma produkt som Private Photo Vault eller Pic Safe av Legendary Software Labs, trots det liknande namnet. Fotona i sig låg inte i databasen, men allt som behövdes för att attackera kontona fanns där, inklusive lösenord lagrade i klartext, vilket en valvapp aldrig bör ha i läsbar form, ännu mindre exponera.
Fynd 4: Annons-SDK:en inuti den "privata" appen
Sju av de åtta integritetspolicyer vi läste hänvisade till tredjeparts-annonsering. Det mest uppseendeväckande är NQ Vault, som också distribueras som Vault-Hide, vars policy listar sex inbäddade annons-SDK:er: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin och Unity. Ett annonsnätverks uppgift är att bygga en profil av användaren. Att bädda in sex av dem i en app vars hela premiss är integritet är kategorins definierande ironi, och det framgår av policytexten, inte av vår spekulation.
Det bredare mönstret från de åtta policy-granskningen: bara en av de åtta, LockMyPix, positionerar sig som annonsfri i sin kärnmodell. Private Photo Vault nämner tredjeparts-cookies och annonsering. Privault listar AdMob och Umeng-analys. Best Secret Folder hänvisar till anpassade annonser, Google Analytics och Firebase. Hide It Pro hänvisar till ett tredjeparts annons-SDK. Appar som inte håller något moln, kräver inget konto och anger ett algoritm är undantaget, inte standarden.
Ett decennium av dokumenterade misslyckanden
Det här är inte nytt. Mönstret med "kryptering" som inte är kryptering har dokumenterats upprepade gånger sedan 2014, av namngivna forskare och expertgranskade studier. Vad som följer är incidentregistret med konfidensnivåer, eftersom några av dessa är bättre underbyggda än andra.
I september 2014 visade kriminalforskaren Jonathan Zdziarski att Private Photo Vault, som då rapporterade över 3 miljoner användare, inte tillämpade någon kryptering utöver standard iOS-lagring. Foton kunde återställas i klartext på ungefär fem minuter. Den här incidenten är verifierad mot en primärkälla på zdziarski.com.
I april 2015 rapporterade The Register och Slate att NQ Mobile Vault, som marknadsförde "kryptering" och hade över 10 miljoner nedladdningar, tillämpade en enkel-byte XOR-operation på bara de första 128 byten av varje fil. Det lämnar 256 möjliga nycklar och resten av varje fil i klartext. Den här incidenten är verifierad.
I november 2015 testade IOActive-forskaren Michael Allen Private Photo Vault, en app kallad "My Media" och Keepsafe och bröt sig in i alla tre på under 30 minuter vardera. Metoderna inkluderade PIN-koder i klartext lagrade i property-list-filer, en oautentiserad webbserver som körde på port 5555 och albumlösenord returnerade i klartext från servern. Den här incidenten är verifierad.
2017 publicerade Zhang, Baggili och Breitinger en expertgranskad studie i Computers and Security (volym 70) som analyserade 18 Android-valvappar med ungefär 220 miljoner kombinerade nedladdningar. Sex krypterade inte lagrade foton, 7 lagrade lösenord i klartext och 10 exponerade dolda data utan root-åtkomst. Forskningen bidrog till att återställa bevis i ett brottmål: 66 bilder och 18 videor. Den här studien är verifierad.
I juni 2019 fann en forskare som publicerade som forensicmike1 att Private Photo Vault hade lagt till AES-kryptering via RNCryptor, men att huvudnyckeln lagrades statiskt i iOS Keychain och aldrig roterades när användaren bytte sin PIN-kod. En fyrsiffrig PIN-kod gjorde nyckeln trivialt möjlig att bruteforcea. Den här incidenten är verifierad.
2022 publicerade Ruffin och kollegor en expertgranskad studie på ACM WPES som analyserade 20 populära Android-valvappar med över 10 miljoner nedladdningar vardera. Bara 5 av 20 försökte med filkryptering. 15 var fullständigt återställbara med ett enkelt adb pull-kommando, och 7 lagrade PIN-koder eller återställnings-e-postadresser i klartext. Den här studien är verifierad.
I februari 2025 rapporterade Kaspersky SparkCat-kampanjen: skadlig kod hittad i appar på både App Store och Google Play som använde optisk teckenigenkänning på enheten för att skanna användarnas fotobibliotek efter kryptovaluta-fraser och skärmdumpar av lösenord, och sedan exfiltrerade matchningarna. Apple och Google tog bort apparna. Det var den första OCR-baserade forostjälaren som är känd för att ha passerat App Store-granskning. Den här incidenten är verifierad.
Två ytterligare incidenter har delvis verifiering och bör läsas med det förbehållet. En analys 2021 fann en familj av kalkylator-stilade valvappar på Android som delade en enda hårdkodad AES-CBC-nyckel över alla installationer, vilket innebär att en känd nyckel dekrypterar varje användares media. Detta är delvis verifierat, från en enda tekniskt specifik forskare. Separat flaggades Vault-Hide-appen av Indiens ministerium för elektronik och informationsteknik 2017 för exfiltrering av telefonnummer, IMEI-nummer och listor över installerade appar, och rapporterades ha undvikit borttagning genom att döpa om sig. Detta är delvis verifierat via sekundärkällor från Cybernews och CPO Magazine.
En datapunkt är anmärkningsvärd för sin frånvaro: vi hittade inget CVE tilldelat någon konsumentfotovalvapp. Det närmaste formella avslöjandet är ett råd från 2018 om en orelaterad "Photo Vault"-produkt med en oautentiserad WiFi-server, bedömd som medelhög allvarlighetsgrad (CVSS 4.8), utan utfärdat CVE (seclists.org Full Disclosure, januari 2018). Kategorin spåras inte formellt, vilket innebär att de flesta av dessa misslyckanden upptäcktes av oberoende forskare utanför varje samordnat avslöjandeprocess.
Hur du faktiskt utvärderar en valvapp
Du behöver inte reverse-engineera någonting. Fem frågor filtrerar bort de flesta riskerna. Första: anger den ett algoritm? "AES-256" eller "AES-GCM" är ett påstående du kan kontrollera. "Militärgrad" är det inte. Andra: krävs ett konto? En e-post och ett lösenord skapar ett lagringsutrymme för inloggningsuppgifter som kan läcka, som Brain Craft Firebase-incidenten visade. Tredje: om den säkerhetskopierar till molnet, vem innehar då nyckeln? Om leverantören kan återställa ditt lösenord och dina foton, kan leverantören läsa dina foton - och det kan alla som bryter sig in hos leverantören.
Fjärde: vad säger App Privacy-etiketten och policyn? Öppna App Privacy-avsnittet. Om den spårar dig eller kopplar dina foton till din identitet, tro på det. Läs policyn för avslöjanden om annons-SDK:er. Femte: är den granskningsbar? "Inga data samlas in", namngivna algoritmer med nyckelderivationsdetaljer och öppen källkod är alla signaler om att en app förväntar sig att granskas. Appar som inte kan kontrolleras förlitar sig på att du inte kontrollerar.
Var Vaultaire passar in i den här bilden
Vi byggde Vaultaire kring de specifika felklasserna som dokumenterats ovan, så det är rättvist att mäta oss mot dem snarare än mot marknadsföring. Vaultaire härleder din AES-256-GCM-krypteringsnyckel från ett 5-gånger-5-mönster du ritar; mönstret genererar nyckeln och lagras aldrig, så det finns ingen lösenordsfil att läcka och ingenting på en server att bruteforcea. Det finns inget konto, vilket innebär ingen e-postadress och inget lagringsutrymme för inloggningsuppgifter. Det är exakt det som läckte i Brain Craft-incidenten.
Vaultaire är zero-knowledge: dina filer och nycklar lämnar aldrig enheten i läsbar form. Den valfria iCloud-säkerhetskopian krypteras innan den lämnar din telefon, så varken vi eller någon som bryter sig in på en server kan läsa den. Vi innehar ingen nyckel till dina data, vilket innebär att ett intrång hos oss inte är ett intrång hos dig. Det är inte ett påstående om att Vaultaire är det enda säkra valet. Det är ett påstående om arkitektur: den modell som undviker de dokumenterade misslyckandena är en där leverantören aldrig innehar din nyckel och aldrig samlar in dina data. Några andra appar gör delar av detta rätt, och vi har namngivit dem genom hela den här granskningen. Poängen med granskningen är att du nu kan kontrollera vilket påstående som helst själv.
Relaterad läsning:
- Är fotovalvappar säkra? Den korta versionen
- Vad AES-256-kryptering egentligen innebär
- Zero-knowledge-kryptering, förklarat
- Vad molnlagringens integritetspolicyer för foton egentligen säger
- Hur mönsterbaserad kryptering gör ditt mönster till nyckeln
Källor
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Vanliga frågor
Är fotovalvappar verkligen säkra?
Det beror helt på appen, och de flesta är svagare än de verkar. I vår granskning i juni 2026 deklarerade 7 av de 12 mest installerade iOS-valvapparna att de spårar dig, och bara 1 angav ett specifikt algoritm i sin lista. Ett decennium av forskning har upprepade gånger hittat appar som marknadsför "kryptering" medan de lagrar filer i klartext eller bakom trivial fördunkling. De säkra anger ett riktigt algoritm, kräver inget konto och innehar ingen nyckel till dina data.
Kan en fotovalvappsutvecklare se mina foton?
Om appen lagrar dina foton i sitt eget moln och kan återställa ditt konto när du glömmer ditt lösenord, då ja: utvecklaren innehar krypteringsnyckeln och kan tekniskt komma åt dina foton, liksom alla som bryter sig in på utvecklarens servrar. En oberoende analys fann att detta var fallet för Keepsafe. Appar som är zero-knowledge eller lokala kan inte se dina foton eftersom de aldrig innehar nyckeln.
Är Private Photo Vault (Pic Safe) verkligen krypterad?
Private Photo Vaults valfria Cloud Vault anger AES-256, vilket är ett riktigt algoritm. Men appen har en dokumenterad historia av svagheter: ingen kryptering hittad 2014 (Zdziarski), bruten på under 30 minuter 2015 (IOActive) och en statisk, icke-roterande huvudnyckel hittad 2019 (forensicmike1). Dess nuvarande App Store-integritetsetikett deklarerar också att den spårar dig och kopplar dina foton till din identitet.
Använder fotovalvappar verkligen kryptering, eller bara en PIN-kod?
Många använder bara en PIN-kod över en dold mapp, vilket inte är kryptering. Att dölja flyttar en fil till en mindre synlig plats; filen förblir läsbar för alla som når den via en säkerhetskopia eller ett kriminaltekniskt verktyg. En expertgranskad studie 2022 av 20 Android-valvappar (Ruffin et al., ACM WPES) fann att bara 5 försökte med riktig filkryptering, och 15 var fullständigt återställbara med ett enkelt adb pull-kommando. Riktig kryptering omvandlar filen till chiffertext som kräver en nyckel.
Vad händer med mina foton om jag tar bort en valvapp?
Om appen bara dolde filerna (ingen kryptering) kan filerna finnas kvar på enheten på en tillgänglig plats eller i säkerhetskopior. Om appen krypterade filerna lokalt och du tar bort appen utan att exportera, kan chiffertexten bli oåterkomlig eftersom nyckeln är borta. Om appen använde molnlagring kan filerna finnas kvar på leverantörens servrar. Kontrollera appens export- och raderingsdokumentation innan du avinstallerar.
Kan kriminaltekniska verktyg eller polisen kringgå PIN-koden för en valvapp?
Enbart PIN-skydd erbjuder lite motstånd mot kriminaltekniska extraktionsverktyg. Forskning från 2014, 2015, 2017 och 2022 visade att valvapps PIN-koder kringgicks på minuter eller att filer återställdes utan någon autentisering alls. En fyrsiffrig PIN-kod som hittades i Private Photo Vaults implementation 2019 noterades som trivialt möjlig att bruteforcea. Riktig filkryptering med en stark nyckelderivationsfunktion höjer ribban avsevärt; ett PIN-skydd ensamt gör det inte.
Säljer Keepsafe mina data?
Keepsafes integritetspolicy är den enda i vårt granskningsurval som uttryckligen anger att viss datadelning kan klassificeras enligt Kaliforniens lag som "försäljning" eller "delning" av personuppgifter. Policyn hänvisar också till annonspartners. Det är ett avslöjande som de andra apparna i vårt urval inte gjorde. Huruvida det utgör en försäljning beror på den juridiska definition som tillämpas, men policyn är den mest explicita i kategorin i den här punkten.
Vad är skillnaden mellan att dölja foton och att kryptera dem?
Att dölja flyttar en fil till en mindre synlig plats på enheten; den underliggande filen är oförändrad och läsbar för alla med åtkomst till lagringen, inklusive säkerhetskopieringsverktyg eller kriminalteknisk programvara. Att kryptera omvandlar filen till chiffertext som är oläsbar utan rätt nyckel. Många valvappar döljer bara. En akademisk studie 2022 (Ruffin et al.) fann att 15 av 20 populära Android-valvappar gick att återställa med ett grundläggande adb pull-kommando, utan behov av dekryptering.
Är det säkert att aktivera molnsäkerhetskopiering i en fotovalvapp?
Bara om säkerhetskopian krypteras innan den lämnar din enhet och leverantören inte kan dekryptera den. Om leverantören kan återställa dina filer när du förlorar ditt lösenord är säkerhetskopian läsbar för leverantören och exponerad vid alla serverintrång. Brain Craft Firebase-incidenten 2025 exponerade e-postadresser, lösenord i klartext och mappnamn just för att molnsidan saknade skydd. Leta efter zero-knowledge-arkitektur med kryptering före uppladdning.
Vilken fotovalvapp kräver inte konto eller internetåtkomst?
Flera appar fungerar helt offline utan konto. I vår granskning bar två appar Apples etikett "Inga data samlas in": Safe Lock och Secret Photo Vault Lock Photos. Vaultaire kräver inget konto, ingen e-postadress och ingen nätverksanslutning för att kryptera och lagra filer. Att inte kräva ett konto eliminerar attackytan för lagring av inloggningsuppgifter helt, vilket är exakt den exponeringsklass som Brain Craft Firebase-incidenten 2025 demonstrerade.