Чи безпечні застосунки-сховища для фотографій? Аудит безпеки 2026 року
Більшість iOS-застосунків-сховищ для фотографій захищають екран, а не файли. Під час нашого аудиту у червні 2026 року 12 найпопулярніших застосунків-сховищ показали такий результат: лише один назвав конкретний алгоритм шифрування в описі в App Store, а 7 із 12 задекларували, що відстежують вас. Заслуговують довіри ті меншість застосунків, які називають справжній алгоритм, не тримають ключ до ваших даних і нічого не збирають.
Застосунки-сховища для фотографій не є однаково безпечними. Під час нашого аудиту у червні 2026 року 12 найпопулярніших iOS-застосунків-сховищ показали такий результат: 7 із 12 задекларували, що відстежують користувачів у різних застосунках і на сайтах, лише 1 назвав конкретний алгоритм у своєму описі, а десятиліття незалежних досліджень раз за разом виявляло застосунки, що рекламують "шифрування", зберігаючи файли у відкритому вигляді або за тривіальним обфускуванням. Безпечні застосунки називають справжній алгоритм, не вимагають облікового запису і не тримають ключ до ваших даних.
Що ми перевіряли і що не тестували
У червні 2026 року ми зібрали мітки конфіденційності, опубліковані політики конфіденційності та описи в App Store для найпопулярніших застосунків-сховищ і застосунків для приховування фотографій в американському App Store - за позицією в магазині та кількістю оцінок. Ми класифікували кожен застосунок за його реальною моделлю безпеки та порівняли результати з десятиліттям задокументованих збоїв, залишивши лише інциденти, що простежуються до первинного або підтвердженого джерела.
Два обмеження мають значення. По-перше, мітки конфіденційності в App Store заповнюються розробниками самостійно; Apple їх не перевіряє, тож застосунок може декларувати менше, ніж збирає насправді. По-друге, це огляд міток, політик і архітектури плюс реєстр публічних інцидентів. Ми не проводили живий перехват мережевого трафіку, тому не претендуємо на висновки щодо трафіку, який особисто не спостерігали. Усе тут можна перевірити за джерелами, наведеними в кінці цієї сторінки.
Висновок 1: "Шифрування" - це зазвичай слово, а не перевірюваний факт
Ця категорія тримається на фразі "шифрування військового рівня". Сама по собі вона нічого не означає. AES-256 - це публічний стандарт без жодного військового класу; ця фраза - маркетинг, який виживає, бо звучить як специфікація. Насправді важливо лише те, чи називає застосунок алгоритм, довжину ключа та метод похідного ключа, які можна оцінити.
З 12 застосунків у нашому аудиті лише один назвав конкретний алгоритм в описі в App Store: Secret Photos KYMS, де вказано "AES". Усі інші застосунки або писали "шифрування військового рівня", "зашифроване сховище", "архітектура нульових знань", або не згадували жодного шифрування. Перевіривши глибше сайти та політики восьми застосунків, ми знайшли справжній алгоритм лише в трьох: LockMyPix називає AES-CTR, опціональне хмарне сховище Private Photo Vault - AES-256, а Calculator# розкриває AES-256 із PBKDF2 при 200 000 ітерацій. Ці три заслуговують похвали за демонстрацію своєї роботи.
Більшість описів сховищ розмивають важливу різницю: приховати фотографію - не те саме, що зашифрувати її. Приховування переміщує файл у менш помітне місце. Шифрування перетворює його на шифротекст, що є непотрібним без ключа. Екран із PIN-кодом, що захищає папку зі звичайними файлами - це завіса, а не стіна. Будь-хто, хто дістанеться файлів через резервну копію, інструмент криміналістики або команду adb, зайде без перешкод.
Висновок 2: Мітки конфіденційності розповідають більше, ніж маркетинг
Мітки конфіденційності Apple - це найчесніша сторінка в App Store, оскільки брехня на них є порушенням правил. Саме тут маркетинговий текст і реальні практики роботи з даними перестають збігатися. Наш аудит у червні 2026 року показав, що 7 із 12 застосунків задекларували "Дані для відстеження вас" - це термін Apple для даних, що передаються для відстеження вас у застосунках і на сайтах інших компаній. Лише 2 із 12 мають мітку Apple "Дані не збираються" - найсильніший сертифікат конфіденційності в магазині: Safe Lock і Secret Photo Vault Lock Photos.
Два найбільш оцінених застосунки в наборі - Private Photo Vault (Pic Safe) і SV Private Photo Vault PRO - обидва опубліковані Legendary Software Labs і разом мають приблизно 1,026 мільйона сукупних оцінок. Обидва відстежують користувачів і, за власними мітками, пов'язують ваші фотографії, відео та ідентифікатори пристрою з вашою особистістю. Best Secret Folder має найширший перелік даних, "прив'язаних до вас": місцезнаходження, повна контактна інформація включно з ім'ям, електронною адресою та телефоном, а також ваші фотографії, відео й аудіо - і при цьому показує рекламу. Застосунок для приватних фотографій, який пов'язує ваші фото з вашою особою та відстежує вас в інших застосунках, вирішує зовсім іншу задачу, ніж та, для якої ви його завантажили.
Решта застосунків в аудиті теж промовиста. Private Photo Vault (Pic Safe) і SV Private Photo Vault PRO не називають алгоритму в описах, використовуючи лише фразу "секретне значення для шифрування/розшифрування". Keepsafe описує своє шифрування як "військовий рівень" без назви алгоритму. Privault пише "зашифроване сховище". HiddenVault заявляє про "архітектуру нульових знань", але не називає жодного алгоритму. Calculator# не називає алгоритму в описі в App Store. Best Secret Folder і Hide It Pro не вказують нічого. Лише KYMS називає AES, і лише Encamera є відкритим програмним забезпеченням, що пропонує інший вид перевірки.
Висновок 3: Обліковий запис і хмарний бекенд - це додаткова поверхня атаки
Локальна обробка файлів може бути бездоганною, і все одно застосунок може мати витік, бо бекенд - це окрема поверхня атаки. Застосунки, що вимагають облікового запису і зберігають файли на своїх серверах, змушують вас довіряти базі даних, яку ви не можете перевірити.
Keepsafe є найчіткішим прикладом такого структурного вибору. Він вимагає електронну адресу ще до початку використання, зберігає контент на власних серверах, і незалежний аналіз безпеки виявив, що компанія зберігає можливість доступу до фотографій користувачів. Його політика конфіденційності - єдина в нашому наборі, яка визнає, що певне передавання даних може кваліфікуватися за законом Каліфорнії як продаж або обмін вашою особистою інформацією. Це розкриття, якого інші не зробили, і воно вказує, хто тримає ключ. Коли постачальник тримає ключ шифрування, злам постачальника - це ваш злам. Модель, що дозволяє уникнути цього, - шифрування з нульовими знаннями, де постачальник не може читати ваші дані, оскільки ніколи не має ключа.
Наочний приклад того, що може піти не так, стався у 2025 році. Окремий застосунок Photo Vault, опублікований розробником Brain Craft, залишив свою базу даних Firebase без захисту паролем. Про це повідомив Cybernews у 2025 році, підтвердивши The Dead Pixels Society. Були розкриті електронні адреси користувачів, паролі у відкритому вигляді, імена файлів і папок, а також вміст функції захищених нотаток - для застосунку з приблизно 72 000 завантажень. Уточнення: цей застосунок Brain Craft - не те саме, що Private Photo Vault або Pic Safe від Legendary Software Labs, попри схожу назву. Самих фотографій у базі даних не було, але все необхідне для атаки на акаунти там знаходилось, включно з паролями у відкритому вигляді - чого застосунок-сховище ніколи не повинен зберігати в читабельній формі, а тим паче розкривати.
Висновок 4: Рекламний SDK всередині "приватного" застосунку
У семи з восьми переглянутих нами політик конфіденційності йшлося про сторонню рекламу. Найпоказовіший - NQ Vault, який також розповсюджується як Vault-Hide: його політика перелічує шість рекламних SDK, вбудованих у застосунок: AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin і Unity. Завдання рекламної мережі - будувати профіль користувача. Вбудовувати шість таких мереж в застосунок, вся суть якого - конфіденційність, є визначальною іронією цієї категорії, і про це написано в тексті самої політики, а не в наших домислах.
Ширша картина за результатами огляду політик восьми застосунків: лише один із восьми, LockMyPix, позиціонує себе як застосунок без реклами у своїй основній моделі. Private Photo Vault згадує сторонні файли cookie та рекламу. Privault перелічує AdMob і аналітику Umeng. Best Secret Folder посилається на таргетовану рекламу, Google Analytics і Firebase. Hide It Pro посилається на сторонній рекламний SDK. Застосунки, що не мають хмари, не вимагають облікового запису і називають алгоритм, є винятком, а не нормою.
Десятиліття задокументованих збоїв
Нічого з цього не нове. Патерн "шифрування", яке насправді не є шифруванням, задокументований неодноразово починаючи з 2014 року - названими дослідниками та в рецензованих дослідженнях. Нижче наводиться реєстр інцидентів із рівнями достовірності, бо деякі з них підкріплені кращими джерелами, ніж інші.
У вересні 2014 року дослідник у галузі криміналістики Джонатан Здзярський показав, що Private Photo Vault, який тоді заявляв понад 3 мільйони користувачів, не застосовував жодного шифрування, крім стандартного сховища iOS. Фотографії вдавалося відновити у відкритому вигляді приблизно за п'ять хвилин. Цей інцидент підтверджено за первинним джерелом на zdziarski.com.
У квітні 2015 року The Register і Slate повідомили, що NQ Mobile Vault, який рекламував "шифрування" і мав понад 10 мільйонів завантажень, застосовував однобайтову операцію XOR лише до перших 128 байт кожного файлу. Це залишає 256 можливих ключів, а решта кожного файлу - у відкритому вигляді. Цей інцидент підтверджено.
У листопаді 2015 року дослідник IOActive Майкл Аллен протестував Private Photo Vault, застосунок під назвою "My Media" і Keepsafe та зламав усі три менш ніж за 30 хвилин кожен. Методи включали PIN-коди у відкритому вигляді, збережені у файлах списків властивостей, неавторизований веб-сервер на порту 5555 і паролі альбомів, що поверталися у відкритому вигляді з сервера. Цей інцидент підтверджено.
У 2017 році Чжан, Баггілі та Брайтінгер опублікували рецензоване дослідження в Computers and Security (том 70), аналізуючи 18 Android-застосунків-сховищ із приблизно 220 мільйонами сукупних завантажень. Шість із них не шифрували збережені фотографії, 7 зберігали паролі у відкритому вигляді, а 10 розкривали приховані дані без кореневого доступу. Дослідження допомогло відновити докази у кримінальній справі: 66 зображень і 18 відео. Це дослідження підтверджено.
У червні 2019 року дослідник, що публікується як forensicmike1, виявив, що Private Photo Vault додав шифрування AES через RNCryptor, але головний ключ зберігався статично в iOS Keychain і ніколи не змінювався, коли користувач змінював PIN. 4-значний PIN робив ключ тривіально перебираємим. Цей інцидент підтверджено.
У 2022 році Раффін і колеги опублікували рецензоване дослідження на ACM WPES, аналізуючи 20 популярних Android-застосунків-сховищ із понад 10 мільйонами завантажень кожен. Лише 5 із 20 намагалися шифрувати файли. 15 можна було повністю відновити простою командою adb pull, а 7 зберігали PIN-коди або електронні адреси для відновлення у відкритому вигляді. Це дослідження підтверджено.
У лютому 2025 року Kaspersky повідомив про кампанію SparkCat: шкідливе програмне забезпечення, знайдене в застосунках як в App Store, так і в Google Play, що використовувало оптичне розпізнавання символів на пристрої для сканування фотобібліотек користувачів у пошуку сід-фраз до криптовалют і скріншотів паролів, а потім передавало знайдене. Apple і Google видалили застосунки. Це був перший відомий крадій фотографій на основі OCR, що пройшов перевірку App Store. Цей інцидент підтверджено.
Два додаткові інциденти мають часткове підтвердження, і це слід враховувати. Аналіз 2021 року виявив сімейство калькуляторних застосунків-сховищ для Android, що використовують єдиний жорстко закодований ключ AES-CBC для всіх установок - тобто один відомий ключ розшифровував медіа кожного користувача. Підтверджено частково - від одного технічно конкретного дослідника. Окремо, застосунок Vault-Hide було позначено Міністерством електроніки та інформаційних технологій Індії у 2017 році за передавання номерів телефонів, номерів IMEI та списків встановлених застосунків, і він, за повідомленнями, ухилився від видалення, перейменувавши себе. Підтверджено частково - через вторинні джерела Cybernews і CPO Magazine.
Одна точка даних примітна своєю відсутністю: ми не знайшли жодного CVE, присвоєного будь-якому споживчому застосунку-сховищу для фотографій. Найближчий офіційний звіт - рекомендація 2018 року щодо не пов'язаного продукту "Photo Vault" із неавторизованим сервером WiFi, оцінений як середній за серйозністю (CVSS 4.8), без присвоєного CVE (seclists.org Full Disclosure, січень 2018). Ця категорія офіційно не відстежується, тобто більшість цих збоїв були виявлені незалежними дослідниками поза будь-яким скоординованим процесом розкриття.
Як насправді оцінити застосунок-сховище
Вам не потрібно нічого реверс-інжинірити. П'ять запитань відсівають більшість ризиків. Перше: чи називає він алгоритм? "AES-256" або "AES-GCM" - це заява, яку можна перевірити. "Військовий рівень" - ні. Друге: чи вимагає він облікового запису? Електронна адреса та пароль утворюють сховище облікових даних, яке може витекти - як показав інцидент із Firebase від Brain Craft. Третє: якщо він робить резервну копію в хмарі, хто тримає ключ? Якщо постачальник може скинути ваш пароль і відновити ваші фотографії, постачальник може читати ваші фотографії - і так само може будь-хто, хто зламає постачальника.
Четверте: що кажуть мітка конфіденційності та політика? Відкрийте розділ конфіденційності. Якщо він відстежує вас або пов'язує ваші фотографії з вашою особою - вірте цьому. Прочитайте політику щодо розкриття рекламних SDK. П'яте: чи можна його перевірити? "Дані не збираються", назви алгоритмів із деталями похідного ключа та відкритий вихідний код - усе це ознаки того, що застосунок очікує на перевірку. Застосунки, які не можна перевірити, розраховують на те, що ви не будете перевіряти.
Місце Vaultaire в цій картині
Ми розробили Vaultaire з урахуванням конкретних класів збоїв, задокументованих вище, тому справедливо вимірювати нас за ними, а не за маркетингом. Vaultaire отримує ваш ключ шифрування AES-256-GCM із патерну 5 на 5, який ви малюєте; патерн генерує ключ і ніколи не зберігається, тому немає файлу пароля, який міг би витекти, і нічого на сервері для перебору. Немає облікового запису, а значить - немає електронної адреси і немає сховища облікових даних. Саме це витекло в інциденті з Brain Craft.
Vaultaire має нульові знання: ваші файли та ключі ніколи не залишають пристрій у читабельній формі. Необов'язкова резервна копія iCloud шифрується до того, як залишає ваш телефон, тому ні ми, ні будь-хто, хто зламає сервер, не можемо її прочитати. Ми не тримаємо ключ до ваших даних, а значить - наш злам не є вашим зламом. Це не стверджує, що Vaultaire є єдиним безпечним вибором. Це стверджування про архітектуру: модель, яка дозволяє уникнути задокументованих збоїв, - та, де постачальник ніколи не тримає ваш ключ і ніколи не збирає ваші дані. Кілька інших застосунків правильно реалізують частини цього, і ми назвали їх протягом цього аудиту. Мета аудиту в тому, що тепер ви можете самостійно перевірити будь-яке твердження.
Додаткове читання:
- Чи безпечні застосунки-сховища для фотографій? Коротка версія
- Що насправді означає шифрування AES-256
- Шифрування з нульовими знаннями - пояснення
- Що насправді написано в політиках конфіденційності хмарного зберігання фотографій
- Як шифрування на основі патерну робить ваш патерн ключем
Джерела
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Часті запитання
Чи справді безпечні застосунки-сховища для фотографій?
Це повністю залежить від конкретного застосунку, і більшість із них слабкіші, ніж виглядають. Під час нашого аудиту у червні 2026 року 7 із 12 найпопулярніших iOS-застосунків-сховищ задекларували, що відстежують вас, і лише 1 назвав конкретний алгоритм у своєму описі. Десятиліття досліджень раз за разом виявляло застосунки, що рекламують "шифрування", зберігаючи файли у відкритому вигляді або за тривіальним обфускуванням. Безпечні називають справжній алгоритм, не вимагають облікового запису і не тримають ключ до ваших даних.
Чи може розробник застосунку-сховища бачити мої фотографії?
Якщо застосунок зберігає ваші фотографії у власній хмарі та може відновити ваш акаунт, коли ви забудете пароль, то так: розробник тримає ключ шифрування і технічно може мати доступ до ваших фотографій - як і будь-хто, хто зламає сервери розробника. Незалежний аналіз виявив, що це стосується Keepsafe. Застосунки з нульовими знаннями або ті, що працюють лише локально, не можуть бачити ваші фотографії, бо ніколи не мають ключа.
Чи справді зашифрований Private Photo Vault (Pic Safe)?
Необов'язкове Cloud Vault від Private Photo Vault називає AES-256 - це справжній алгоритм. Але застосунок має задокументовану історію вразливостей: відсутність шифрування у 2014 році (Зджарський), злам менш ніж за 30 хвилин у 2015 році (IOActive) та статичний нероторований головний ключ, знайдений у 2019 році (forensicmike1). Поточна мітка конфіденційності в App Store також декларує, що він відстежує вас і пов'язує ваші фотографії з вашою особою.
Чи справді застосунки-сховища використовують шифрування, чи лише PIN?
Багато хто використовує лише PIN поверх прихованої папки, що не є шифруванням. Приховування переміщує файл у менш помітне місце; файл залишається читабельним для будь-кого, хто дістанеться до нього через резервну копію або інструмент криміналістики. Рецензоване дослідження 2022 року, що охопило 20 Android-застосунків-сховищ (Ruffin та ін., ACM WPES), виявило, що лише 5 намагалися реально шифрувати файли, а 15 можна було повністю відновити простою командою adb pull. Справжнє шифрування перетворює файл на шифротекст, що вимагає ключа.
Що станеться з моїми фотографіями, якщо я видалю застосунок-сховище?
Якщо застосунок лише ховав файли (без шифрування), файли можуть залишитися на пристрої в доступному місці або в резервних копіях. Якщо застосунок шифрував файли локально і ви видалите його без експорту, шифротекст може стати невідновним, бо ключ зникне. Якщо застосунок використовував хмарне сховище, файли можуть залишитися на серверах постачальника. Перш ніж видаляти застосунок, перевірте його документацію щодо експорту та видалення.
Чи можуть криміналістичні інструменти або поліція обійти PIN застосунку-сховища?
Захист лише PIN-кодом майже не чинить опору інструментам криміналістичного видобування. Дослідження 2014, 2015, 2017 і 2022 років показували, що PIN-коди застосунків-сховищ обходилися за хвилини або файли відновлювались без будь-якої автентифікації. 4-значний PIN, знайдений в реалізації Private Photo Vault 2019 року, був відзначений як тривіально перебираємий. Справжнє шифрування файлів із надійною функцією похідного ключа значно підвищує поріг; захист лише PIN-кодом - ні.
Чи продає Keepsafe мої дані?
Політика конфіденційності Keepsafe - єдина в нашому наборі, яка прямо зазначає, що певна передача даних може кваліфікуватися за законом Каліфорнії як "продаж" або "обмін" особистою інформацією. Політика також посилається на рекламних партнерів. Це розкриття, якого не зробили інші застосунки в нашому наборі. Чи є це продажем - залежить від застосованого правового визначення, але ця політика є найбільш відвертою в категорії з цього питання.
У чому різниця між приховуванням і шифруванням фотографій?
Приховування переміщує файл у менш помітне місце на пристрої; сам файл не змінюється і є читабельним для будь-кого з доступом до сховища, включно з інструментами резервного копіювання або криміналістичним програмним забезпеченням. Шифрування перетворює файл на шифротекст, що є нечитабельним без правильного ключа. Багато застосунків-сховищ лише ховають. Академічне дослідження 2022 року (Ruffin та ін.) виявило, що 15 із 20 популярних Android-застосунків-сховищ можна було відновити базовою командою adb pull без жодного дешифрування.
Чи безпечно вмикати хмарне резервне копіювання в застосунку-сховищі?
Лише якщо резервна копія шифрується до того, як покидає ваш пристрій, і постачальник не може її розшифрувати. Якщо постачальник може відновити ваші файли, коли ви втратили пароль, резервна копія є читабельною для постачальника і розкритою при будь-якому зломі сервера. Інцидент із Firebase від Brain Craft у 2025 році розкрив електронні адреси, паролі у відкритому вигляді та імена папок саме тому, що хмарна сторона не мала захисту. Шукайте архітектуру нульових знань із шифруванням до завантаження.
Який застосунок-сховище для фотографій не вимагає облікового запису або інтернету?
Кілька застосунків працюють повністю офлайн без облікового запису. Під час нашого аудиту два мали мітку Apple "Дані не збираються": Safe Lock і Secret Photo Vault Lock Photos. Vaultaire не вимагає облікового запису, електронної адреси та мережевого з'єднання для шифрування і зберігання файлів. Відсутність облікового запису повністю усуває поверхню атаки сховища облікових даних - саме той клас ризику, який продемонстрував інцидент із Firebase від Brain Craft у 2025 році.