Hesap Makinesi Kasası Uygulamaları: Nasıl Çalışırlar ve Neden Var Olurlar
Çoğu hesap makinesi kasası uygulaması, fotoğrafları kılık ardında gizler ancak dosyaları şifrelenmemiş biçimde depolar.
Hesap makinesi kasası uygulaması, ana ekranda kendisini standart bir hesap makinesi olarak gösteren ancak belirli bir kod girildiğinde gizli fotoğraf ve dosya depolama alanı açan bir mobil uygulamadır. Kılık tek bir amaca hizmet eder: telefona bakan herkes bir hesap makinesi görür, kasa değil. Bu kavram, iOS ve Android genelinde yüzlerce milyon indirmeye yol açmıştır.
Ancak çoğu kullanıcının hiç düşünmediği bir sorun var. Kılık, uygulamayı rasgele gözlemcilerden gizler. Dosyalarınızı teknik bilgiye sahip birinden gizlemez. Bu fark, çoğu insanın fark ettiğinden çok daha önemlidir.
Bu rehber, hesap makinesi kasası uygulamalarının nasıl çalıştığını, neden popüler hale geldiklerini, gerçekte neye karşı koruduklarını ve güvenlik modelinin nerede çöktüğünü açıklamaktadır.
Hesap Makinesi Kasası Uygulamaları Nasıl Çalışır
Hesap makinesi kasası uygulamaları tutarlı bir örüntü izler. Uygulama simgesi ve başlatma ekranı işlevsel bir hesap makinesi gösterir. Kullanıcı önceden belirlenmiş bir PIN veya şifre girip eşittir tuşuna bastığında uygulama, fotoğraflar, videolar ve dosyalar için gizli depolama alanını açar.
Genel mekanizma:
- Ana ekran kılığı. Uygulama simgesi, varsayılan iOS veya Android hesap makinesini taklit eder. Bazı uygulamalar stok hesap makinesi uygulamasının tam arayüzünü kopyalayarak daha da ileri gider.
- PIN tabanlı erişim. Sayısal bir kod (genellikle 4-8 basamak) gizli alanın kilidini açar. Bazı uygulamalar farklı albümler için birden fazla PIN destekler.
- Gizli depolama. Uygulamaya aktarılan fotoğraflar ve videolar, cihaz fotoğraf kitaplığından ayrı olarak uygulamanın sanal alanında depolanır.
- İşlevsel hesap makinesi. Hesap makinesi kısmı, birisi uygulamayı açsa bile kılığı koruyarak temel aritmetik işlemler için gerçekten çalışır.
Popüler örnekler arasında Calculator# (Calculator+ olarak da bilinir), Calculator Lock, Secret Calculator ve HideX sayılabilir. Çoğu reklam destekli ücretsizdir ve ek özellikler için premium katmanlar sunar.
İçerideki Dosyalarınıza Ne Olur
İşte burada önemli bir husus gündeme gelir. Çoğu hesap makinesi kasası uygulamasında, içinde depolanan dosyalar şifrelenmemiş olur. Kamera rulosundan uygulamanın yerel depolama dizinine taşınırlar. iOS'ta bu, dosyaların standart görüntü biçiminde (JPEG, PNG, HEIC) uygulamanın sanal alan klasöründe yer aldığı anlamına gelir.
Dosyalar, Fotoğraflar uygulamasından gizlenmiştir, ancak kriptografik olarak korunmamıştır. "Gizlenmiş" ile "şifrelenmiş" arasındaki ayrım, bu kategorinin tüm merkezi sorunudur.
Hesap Makinesi Kasası Uygulamaları Neden Popüler Hale Geldi
Hesap makinesi kasalarının popülaritesi, üç örtüşen ihtiyaca dayanır:
1. Sosyal gizlilik
En yaygın kullanım senaryosu, telefonu ödünç alan veya omzunuzdan bakan kişilerden fotoğraf gizlemektir. Telefonu alıp uygulamalara bakan bir eş, aile üyesi, iş arkadaşı veya arkadaş bir hesap makinesi görür. Uygulamayı açıp rastgele sayı dizileri denemeye pek olası değildir.
2. İnandırıcı yadsınabilirlik (algılanan)
Kullanıcılar, hesap makinesi kılığının yadsınabilirlik sağladığına inanır. Biri "kasa uygulamanız var mı?" diye sorarsa, cevap "hayır, bu sadece hesap makinem" olabilir. Bu, yalnızca dikkatli bakmayan kişilere karşı işe yarar.
3. Teknik bilgi gerekmez
Hesap makinesi kasaları kullanımı kolaydır. Uygulamayı indirin, PIN belirleyin, fotoğrafları aktarın. Şifreleme, anahtar yönetimi veya güvenlik mimarisinin anlaşılması gerekmez. Giriş engeli esasen sıfırdır.
Bunlar meşru ihtiyaçlardır. Sorun, hedefler değildir. Sorun, tehdit omuz sörfünün ötesine geçtiğinde ne olduğudur.
Güvenlik Açığı: Hesap Makinesi Kasalarının Neye Karşı Koruma Sağlamadığı
| Tehdit | Hesap makinesi kasası | Şifreli kasa (AES-256) |
|---|---|---|
| Rasgele omuz sörfü | Korumalı (kılık işe yarar) | Korumalı (uygulama kimlik doğrulama gerektirir) |
| Kasa uygulamanız olduğunu bilen biri | Korumalı değil (kılık deşifre olur) | Korumalı (şifreleme hâlâ geçerli) |
| Telefon bilgisayara bağlandığında | Korumalı değil (dosyalar dosya sisteminde görünür) | Korumalı (dosyalar şifreli blob'lardır) |
| Adli inceleme | Korumalı değil (standart dosya kurtarma) | Korumalı (veri gürültüden ayırt edilemez) |
| Uygulama kaldırıldı veya veri dışa aktarıldı | Korumalı değil (dosyalar düz metinde) | Korumalı (şifreli veri okunamaz) |
| Sınır geçişi / zorla erişim | Korumalı değil (PIN talep edilebilir) | Mimariye bağlıdır |
Temel sınırlama: hesap makinesi kasası gözlere karşı korur, araçlara karşı değil. USB kablosu, adli araç takımı veya hatta iPhone yedek çıkarma hakkında temel bilgiye sahip herhangi biri dosyaları bulabilir.
Android'de durum daha da kötüdür. Birçok hesap makinesi kasası uygulaması dosyaları SD kart veya erişilebilir dizinlerde depolar. iOS'ta uygulama sanal alanı belirli bir izolasyon sağlar, ancak iTunes/Finder yedekleri uygulama verilerini içerebilir ve Cellebrite ve GrayKey gibi adli araçlar uygulama sanal alan içeriklerini rutin olarak çıkarır.
Reklam ve Veri Toplama Sorunu
Çoğu ücretsiz hesap makinesi kasası uygulaması reklam desteklidir. Bu, cihaz tanımlayıcıları, kullanım örüntülerini ve bazen konum verilerini toplayan reklam SDK'ları içerdikleri anlamına gelir. İroni görmezden gelinmesi zordur: gizliliğinizi korumak için tasarlanmış uygulama, aynı zamanda davranışınızı reklam ağlarına yayınlıyor.
iOS App Store'daki en iyi 20 hesap makinesi kasası uygulamasının 2023 incelememizde, 14'ünün en az üç üçüncü taraf izleme SDK'sı içerdiğini bulduk. Bazıları, sınırlı gizlilik korumaları olan yargı bölgelerindeki sunuculara veri iletiyordu.
Bu uygulamaları gizlilik için yükleyen kullanıcılar, dijital ayak izleri söz konusu olduğunda genellikle tersini elde ediyorlar.
"Birden Fazla PIN" Özelliği: Gerçek mi Tiyatro mu?
Birkaç hesap makinesi kasası uygulaması, farklı PIN'lerin farklı fotoğraf albümleri açtığı bir özellik tanıtmaktadır. 1234 girin ve tatil fotoğraflarını görün. 5678 girin ve özel dosyaları görün. Bu, inandırıcı yadsınabilirlik gibi görünür.
Değildir.
Gerçek inandırıcı yadsınabilirlik, gizli verinin varlığının kanıtlanamadığını gerektirir. Birden fazla PIN'li hesap makinesi kasası uygulamaları, kaç PIN-albüm çiftinin mevcut olduğunu listeleyen bir yapılandırma dosyası depolar. Adli incelemeci bu yapılandırmayı okuyabilir. İkinci PIN'i bilmeden iki albümün var olduğunu görebilir. Verinin kendisi şifrelenmemiştir, bu yüzden herhangi bir PIN olmaksızın dosyalara doğrudan erişebilir.
Bunu, her kimlik bilgisinin farklı bir şifreli alan açtığı, kaç alanın var olduğuna dair kayıt olmadığı ve tüm şifreli verilerin rastgele gürültüden ayırt edilemez olduğu bir mimariyle karşılaştırın. İkincisi inandırıcı yadsınabilirlidir. Birincisi bir arayüz hilesidir.
Hesap Makinesi Kasasını Kimin Kullanması (ve Kullanmaması) Gerekir
Hesap makinesi kasası uygulamaları dar ama gerçek bir kullanım senaryosuna hizmet eder. İşte dürüst bir değerlendirme:
Hesap makinesi kasaları şu durumlarda anlamlıdır:
- Tek endişeniz, teknik olmayan rasgele kişilerin fotoğraflara rastlamasını önlemek
- Gizlenmiş uygulama simgesinin sosyal kolaylığını istiyorsunuz
- Korumanın kriptografik değil, kozmetik olduğunu anlıyorsunuz
- Keşfedilmesi ciddi sonuçlar doğuracak bir şey depolamıyorsunuz
Hesap makinesi kasaları şu durumlarda yetersizdir:
- Potansiyel cihaz aramasıyla karşı karşıyasınız (sınır geçişleri, hukuki durumlar, işyeri)
- Teknik bilgiye sahip biri dosyalarınıza erişmeye çalışabilir
- Dosyalar ifşa edilseydi gerçek zarar verebilirdi (mahrem fotoğraflar, gizli belgeler, tıbbi kayıtlar)
- Adli incelemeye dayanan koruma istiyorsunuz
- Uygulama geliştiricisinden ve reklam ortaklarından gerçek gizlilik istiyorsunuz
Ayrım sosyal gizlilik (rasgele gözlemcilerden gizlenme) ile güvenlik (kararlı rakiplerden veri koruma) arasındadır. Hesap makinesi kasaları birincisini sağlar. İkincisini sağlamazlar.
Şifreli Kasa Uygulamaları Bunu Nasıl Farklı Ele Alır
Kılık tabanlı gizlemenin alternatifi, şifreleme tabanlı korumadır. Şifreli kasa uygulaması, varlığını gizlemeye güvenmez. Matematiğe güvenir.
AES-256-GCM şifrelemesiyle her dosya, depolama alanına ulaşmadan önce 256 bit anahtar ile şifrelenir. Şifreli çıktı, rastgele veriden ayırt edilemez. Doğru anahtar olmadan görecek bir şey yoktur -- bir klasörde gizlenmiş dosyalar değil, gerçek kriptografik gürültü.
Vaultaire, hesap makinesi kasalarının kılıkla çözmeye çalıştığı inandırıcı yadsınabilirlik sorununa farklı bir yaklaşım benimsiyor. Uygulamayı gizlemek yerine Vaultaire, içinde ne olduğunu kanıtlamayı matematiksel olarak imkânsız kılıyor:
- Her desen farklı bir kasa açar. Ana dizin yok. Kasa sayısı yok. Kaç kasanın var olduğunu ortaya koyan kayıt yok.
- Depolama dolgusu, kaç kasa veya dosya olduğundan bağımsız olarak toplam disk kullanımını sabit tutar; depolama değişikliklerine dayalı analizleri engeller.
- Baskı modu, belirlenmiş bir desen çizildiğinde diğer tüm kasalar için kriptografik tuzları görsel gösterge ve kurtarılabilir kanıt olmaksızın yok eder.
- Yapılandırma bayrakları yok. Adli araçların bulabileceği "sahte PIN" ayarlarına sahip hesap makinesi kasalarının aksine, Vaultaire'in gizli modu yoktur; çünkü her kasa mimari olarak özdeştir.
Sonuç: sınırsız zaman ve profesyonel araçlara sahip adli incelemeci, Vaultaire'in yüklü olduğunu ve şifreli verinin mevcut olduğunu doğrulayabilir, ancak kaç kasanın var olduğunu, ne içerdiklerini veya ek kasaların yok edilip edilmediğini belirleyemez.
İşte bu, kılık ile mimari arasındaki farktır. Birisi biri yakından baktığında bozulur. Diğeri incelemeye dayanır.
Bunun Yerine Nelere Bakmalı
Hesap makinesi kasası uygulamalarına alternatifleri değerlendiriyorsanız, önem taşıyan kriterler şunlardır:
| Kriter | Neye bakmalı | Neden önemli |
|---|---|---|
| Şifreleme standardı | Minimum AES-256-GCM veya AES-256-CBC | Şifreleme olmadan, dosyalar dosya sistemi erişimine sahip herkese açıktır |
| Anahtar türetme | Yüksek yineleme sayısıyla PBKDF2, Argon2 veya scrypt | Parola/desene yönelik kaba kuvvet saldırılarını önler |
| Veri toplama | App Store'daki gizlilik beslenme etiketlerini kontrol edin | Birçok kasa uygulaması, kullanım verilerini toplar ve satar |
| Sıfır bilgi mimarisi | Geliştirici dosyalarınıza erişemez | Geliştirici erişebiliyorsa, geliştiriciye erişen herkes de erişebilir |
| Kurtarma mekanizması | E-posta tabanlı sıfırlama yerine kurtarma cümlesi veya anahtarı | E-posta tabanlı sıfırlama, geliştiricinin verilerinizin şifresini çözebileceği anlamına gelir |
| Açık denetim durumu | Şifreleme bağımsız olarak doğrulandı mı? | Kendi iddiasına dayanan şifreleme hatalı uygulanmış olabilir |
Belirli uygulamaların ayrıntılı karşılaştırması için iPhone için en iyi fotoğraf kasası uygulamaları rehberimize bakın. Fotoğraf gizlemek için adım adım talimatlar istiyorsanız, iPhone'da fotoğraf gizleme rehberimizle başlayın.
Sıkça Sorulan Sorular
Hesap makinesi kasası uygulamaları güvenli mi?
Hesap makinesi kasası uygulamaları, rasgele gözleme karşı koruma sağlar, ancak teknik incelemeye karşı değil. Çoğu depolanan dosyaları şifrelemez; bu da dosya sistemi erişimine sahip herhangi birinin (USB, yedek çıkarma veya adli araçlar aracılığıyla) PIN'i bilmeden fotoğrafları görüntüleyebileceği anlamına gelir. Ayrıca genellikle cihaz ve kullanım verilerini toplayan reklam SDK'ları içerirler. Sosyal gizlilik için işe yararlar. Gerçek güvenlik için işe yaramazlar.
Hesap makinesi kasası uygulamasında saklanan fotoğraflar bulunabilir mi?
Evet. Çoğu hesap makinesi kasası uygulamasında depolanan dosyalar şifrelenmemiştir. Uygulamanın depolama dizininde standart görüntü dosyaları olarak bulunurlar. Telefonu bilgisayara bağlamak, iTunes yedeği çıkarmak veya adli araçlar kullanmak, uygulamanın PIN'ine gerek kalmaksızın dosyaları ortaya koyabilir. Android'de bazı uygulamalar dosyaları SD kart üzerinde depolar; bu onları daha da erişilebilir kılar.
Hesap makinesi kasası ile şifreli kasa uygulaması arasındaki fark nedir?
Hesap makinesi kasası, kimliğini hesap makinesi kılığı ardında gizler ve dosyaları gizli ama şifrelenmemiş bir klasörde depolar. Şifreli kasa uygulaması, dosyaları doğru anahtar olmadan matematiksel olarak okunamaz AES-256 şifreli veri olarak depolar. Hesap makinesi yaklaşımı, rasgele gözlemcilere karşı koruma sağlar. Şifreleme yaklaşımı, adli incelemeye, cihaz hırsızlığına ve zorla erişime karşı koruma sağlar.
Hesap makinesi kasası uygulamaları fotoğrafları şifreler mi?
Çoğu şifrelemez. Hesap makinesi kasası uygulamalarının büyük çoğunluğu, kılığı birincil koruma mekanizması olarak kullanır ve dosyaları uygulama sanal alanı içinde düz metin biçiminde depolar. Bazı yeni hesap makinesi kasaları şifreleme sunduğunu iddia eder, ancak uygulamanın bağımsız doğrulaması olmadan bu şifrelemenin gücü belirsizdir. Şifrelemeyi kılıktan önce birincil özellik olarak sunan uygulamalar, bu konuda genellikle daha güvenilirdir.
Polis hesap makinesi kasası uygulamalarına erişebilir mi?
Kolluk kuvvetleri, iOS ve Android cihazlardan uygulama sanal alan verilerini çıkarabilen Cellebrite UFED ve GrayKey gibi adli araçları rutin olarak kullanır. Çoğu hesap makinesi kasası uygulaması dosyaları şifrelenmemiş biçimde depoladığından, bu araçlar uygulamanın PIN'ini bilmeden fotoğraflara erişebilir. Sıfır bilgi mimarisine sahip AES-256 kullanan düzgün şifreli kasa uygulamaları, veriler kullanıcının kimlik bilgileri olmadan matematiksel olarak erişilemez olduğundan temelden farklı bir zorluk sunar.
Sonuç
Hesap makinesi kasası uygulamaları gerçek bir sorunu çözer. Herkes AES-256 şifrelemeye ihtiyaç duymaz. Bazen fotoğrafları yalnızca meraklı bir oda arkadaşından uzak tutmak istersiniz.
Ancak ne aldığınızı bilin. Hesap makinesi kılığı, güvenlik aracı değil sosyal bir araçtır. Biri yüzeyin ötesine baktığı ana kadar işe yarar. Fotoğraflarınız ifşa edilseydi gerçek zarar verebilirdi, kılık yeterli değildir.
Soru "bu uygulamayı nasıl gizlerim?" değil. Soru "birisi onu bulursa ne olur?"
Bu ikinci sorunun cevabı sizin için önemliyse, kılığın ötesine bakın. Şifrelemeye bakın.
İlgili rehberler: iPhone İçin En İyi Fotoğraf Kasası Uygulamaları | iPhone'da Fotoğraf Gizleme | Fotoğraf Gizleme Uygulaması: Sıralanmış 5 Yaklaşım | Sıfır Bilgi Şifrelemesi Nedir?