相片保險箱 App 安全嗎?2026 年安全稽核報告
大多數 iOS 相片保險箱 App 保護的是畫面,而不是檔案。在我們 2026 年 6 月針對 12 款最多人安裝的保險箱 App 所做的稽核中,只有一款在 App Store 頁面上列出具體的加密演算法,而 12 款中有 7 款宣告會追蹤使用者。真正值得信賴的 App 是少數的例外,它們會說明真實的加密演算法、不持有你的資料金鑰,且不收集任何資訊。
相片保險箱 App 的安全性參差不齊,大多數比表面看起來更脆弱。在我們 2026 年 6 月針對 12 款最多人安裝的 iOS 保險箱 App 所做的稽核中,12 款中有 7 款宣告會跨 App 和網站追蹤使用者,只有 1 款在頁面中列出具體的加密演算法。十年來的獨立研究屢屢發現,App 以「加密」為行銷手段,實際上卻將檔案以明文儲存,或只做表面的混淆處理。安全的 App 會說明真實的加密演算法、不需要帳號,且不持有你的資料金鑰。
我們稽核了什麼,以及我們未測試的部分
我們於 2026 年 6 月,依照美國 App Store 的排名位置和評分數量,擷取排名最前面的相片保險箱及隱藏相片類 App 的 App 隱私權標籤、公開隱私政策,以及 App Store 介紹,並依據每款 App 的實際安全模型進行分類,同時交叉比對十年來有據可查的保險箱 App 失敗案例,只保留可追溯至主要來源或經過佐證的事件。
有兩個限制需要說明。第一,App Store 隱私權標籤為自行申報,Apple 並未稽核,因此 App 可能實際收集了更多資訊。第二,本報告是針對標籤、政策和架構的審查,加上公開事件的彙整。我們未進行即時網路流量擷取,因此對於未親自觀察的流量不做任何主張。本頁所有內容皆可對照底部列出的來源進行核實。
發現一:「加密」往往只是一個詞,而非可驗證的事實
這個類別的 App 普遍使用「軍事級加密」這個說法,但它本身毫無意義。AES-256 是一個公開標準,並沒有所謂的軍事等級;這個說法之所以能夠流傳,是因為它聽起來像一個技術規格。真正重要的是 App 是否說明了加密演算法、金鑰長度,以及你可以評估的金鑰衍生方式。
在 12 款 App 的標籤稽核中,只有一款在 App Store 介紹中列出具體的加密演算法:Secret Photos KYMS,其描述提及「AES」。其他所有 App 不是聲稱「軍事級加密」、「加密儲存」、「零知識架構」,就是完全未提及任何加密方式。進一步查閱 8 款 App 的開發者網站和政策後,只有三款在官方資料中列出真實的加密演算法:LockMyPix 列出 AES-CTR,Private Photo Vault 的選用雲端保險箱列出 AES-256,Calculator# 揭露 AES-256 搭配 PBKDF2、迭代次數 200,000 次。這三款 App 因公開說明其加密做法而值得肯定。
大多數保險箱 App 的介紹都刻意模糊一個重要區別:隱藏相片並不等於加密相片。隱藏是將檔案移至較不顯眼的位置,加密則是將檔案轉換為沒有金鑰就毫無用處的密文。一個保護普通檔案資料夾的 PIN 畫面不過是一道簾子,而非一堵牆。任何人只要透過備份、鑑識工具或 adb 指令存取到底層檔案,就能直接取得內容。
發現二:隱私權標籤比行銷文案更誠實
Apple 的 App 隱私權標籤是 App Store 中最誠實的頁面,因為在上面提供不實資訊會違反政策。這個頁面揭示了行銷文案與實際資料處理方式之間的落差。我們 2026 年 6 月的稽核發現,12 款 App 中有 7 款宣告「用於追蹤您的資料」,這是 Apple 對於跨其他公司 App 和網站追蹤使用者的資料的定義。只有 2 款 App 標示了 Apple 的「未收集資料」標籤,這是該平台最高等級的隱私認證:Safe Lock 和 Secret Photo Vault Lock Photos。
評分最高的兩款 App,Private Photo Vault(Pic Safe)和 SV Private Photo Vault PRO,均由 Legendary Software Labs 發布,合計約有 1,026,000 筆評分。兩款 App 都追蹤使用者,且根據其自行申報的標籤,會將你的相片、影片和裝置識別碼與你的身分連結。Best Secret Folder 在所有 App 中的「連結至您」資料範圍最廣:位置、完整聯絡資訊(包括姓名、電子郵件和電話),以及你的相片、影片和音訊,且該 App 同時投放廣告。一款將你的相片連結至你的身分、並跨其他 App 追蹤你的私密相片 App,解決的問題和你下載它的初衷根本不同。
稽核中其餘 App 的情況也說明了問題。Private Photo Vault(Pic Safe)和 SV Private Photo Vault PRO 在介紹中均未列出加密演算法,只使用「secret value to encrypt/decrypt」這樣的說法。Keepsafe 將其加密描述為「軍事級」,但未列出演算法。Privault 僅稱「加密儲存」。HiddenVault 聲稱採用「零知識架構」,但未列出任何演算法。Calculator# 在 App Store 頁面中未列出加密演算法。Best Secret Folder 和 Hide It Pro 完全未提及任何加密資訊。只有 KYMS 列出了 AES,只有 Encamera 是開放原始碼,提供了另一種可驗證性。
發現三:帳號和雲端後端是第二個攻擊面
即使本地端的檔案處理無懈可擊,App 仍然可能洩露資料,因為後端是一個獨立的攻擊面。要求你建立帳號並將檔案儲存在其伺服器上的 App,是在要求你信任一個你無法稽核的資料庫。
Keepsafe 是這種架構選擇最典型的例子。它要求你在使用前提供電子郵件地址,將內容儲存在自己的伺服器上,且有獨立安全分析發現,該公司保留了存取使用者相片的能力。其隱私政策也是我們稽核集中唯一一份承認某些資料共享在加州法律下可能被歸類為「出售」或「共享」個人資訊的政策,這是其他 App 未做出的揭露,同時也說明了誰持有金鑰。當服務商持有加密金鑰,服務商的資安事件就是你的資安事件。能夠避免這個問題的模型是零知識加密,亦即服務提供者因從不持有金鑰而無法讀取你的資料。
2025 年發生的案例充分說明了問題所在。一款名為 Photo Vault、由開發者 Brain Craft 發布的 App,將其 Firebase 資料庫完全開放,沒有設定任何密碼保護。這起事件由 Cybernews 於 2025 年報導,並獲 The Dead Pixels Society 佐證。事件暴露了約 72,000 名下載者的使用者電子郵件地址、明文密碼、檔案和資料夾名稱,以及 App 安全備忘錄功能的內容。需要特別說明的是:這款 Brain Craft 的 App 與 Legendary Software Labs 的 Private Photo Vault 或 Pic Safe 是不同的產品,儘管名稱相似。相片本身並不在資料庫中,但攻擊帳號所需的一切資訊都在,包括以明文儲存的密碼,而一款保險箱 App 根本不應以可讀形式持有密碼,更不應將其暴露。
發現四:「私密」App 內嵌的廣告 SDK
我們閱讀的 8 份隱私政策中,有 7 份提及第三方廣告。其中最突出的是 NQ Vault,也以 Vault-Hide 名稱發布,其政策列出了 App 內嵌的六個廣告 SDK:AdMob、Facebook Audience Network、InMobi、MoPub、AppLovin 和 Unity。廣告網路的工作就是建立使用者檔案。在一款以隱私為核心訴求的 App 中嵌入六個廣告 SDK,是這個類別最大的諷刺,而且這不是我們的推測,而是明確寫在政策條文中。
8 份政策審查的整體模式顯示:8 款中只有一款,LockMyPix,在其核心方案中定位為無廣告。Private Photo Vault 提及第三方 Cookie 和廣告。Privault 列出了 AdMob 和 Umeng 分析工具。Best Secret Folder 提及個人化廣告、Google Analytics 和 Firebase。Hide It Pro 提及第三方廣告 SDK。不保留雲端資料、不需要帳號、且列出加密演算法的 App 是例外,而非常態。
十年來有據可查的失敗案例
這些問題並不新鮮。「加密」實為偽加密的模式自 2014 年起就已被具名研究人員和同儕審查研究反覆記錄。以下是事件彙整,並附上可信度說明,因為各事件的來源品質不同。
2014 年 9 月,鑑識研究員 Jonathan Zdziarski 發現 Private Photo Vault 在當時聲稱擁有超過 300 萬名使用者,卻完全沒有超出 iOS 預設儲存機制以外的加密。相片可在約五分鐘內以明文還原。此事件已透過 zdziarski.com 的主要來源核實。
2015 年 4 月,The Register 和 Slate 報導,NQ Mobile Vault 以「加密」為行銷訴求,下載次數超過 1,000 萬,卻僅對每個檔案的前 128 個位元組套用單一位元組的 XOR 運算,僅剩 256 種可能的金鑰,且每個檔案的其餘部分均為明文。此事件已核實。
2015 年 11 月,IOActive 研究員 Michael Allen 測試了 Private Photo Vault、一款名為「My Media」的 App,以及 Keepsafe,並在 30 分鐘內各自破解了三款。使用的方法包括:存在屬性清單檔案中的明文 PIN、在 5555 埠運作的未驗證網頁伺服器,以及從伺服器以明文傳回的相簿密碼。此事件已核實。
2017 年,Zhang、Baggili 和 Breitinger 在《Computers and Security》期刊(第 70 卷)發表了一份同儕審查研究,分析了合計約 2.2 億次下載的 18 款 Android 保險箱 App。其中 6 款未對儲存的相片進行加密,7 款以明文儲存密碼,10 款在未取得 root 權限的情況下即可存取隱藏資料。這項研究協助在一起刑事案件中取回了 66 張圖片和 18 段影片的證據。此研究已核實。
2019 年 6 月,一位化名 forensicmike1 的研究員發現 Private Photo Vault 已透過 RNCryptor 加入 AES 加密,但主金鑰靜態存放在 iOS Keychain 中,且使用者變更 PIN 時從未輪換。4 位數的 PIN 使金鑰極易遭到暴力破解。此事件已核實。
2022 年,Ruffin 及其同事在 ACM WPES 發表了一份同儕審查研究,分析了 20 款各擁有超過 1,000 萬次下載的熱門 Android 保險箱 App。20 款中只有 5 款嘗試了真正的檔案加密,15 款只需一個簡單的 adb pull 即可完整還原,7 款以明文儲存 PIN 或復原電子郵件。此研究已核實。
2025 年 2 月,Kaspersky 報告了 SparkCat 行動:在 App Store 和 Google Play 上均發現惡意軟體,這些 App 使用裝置端光學字元辨識技術掃描使用者相片庫,搜尋加密貨幣助記詞和密碼截圖,再將相符結果傳送出去。Apple 和 Google 隨後下架了相關 App。這是已知首個通過 App Store 審查的 OCR 相片竊取惡意軟體。此事件已核實。
另有兩起事件僅獲部分核實,閱讀時請留意。2021 年一項分析發現 Android 上一系列計算機外觀的保險箱 App 在所有安裝中共用一個硬式編碼的 AES-CBC 金鑰,意味著一個已知金鑰可解密所有使用者的媒體。此事件已由單一技術具體研究員部分核實。另外,Vault-Hide App 於 2017 年被印度電子資訊技術部標記為存在竊取電話號碼、IMEI 碼和已安裝 App 清單的行為,據報導該 App 以重新命名的方式躲避下架。此事件已透過 Cybernews 和 CPO Magazine 的二手來源部分核實。
有一個數據因其缺席而值得關注:我們未發現任何已指派 CVE 給消費者相片保險箱 App 的案例。最接近的正式揭露是 2018 年一份針對另一款「Photo Vault」產品的未驗證 WiFi 伺服器漏洞的通報,嚴重性評為中等(CVSS 4.8),未發出 CVE(seclists.org Full Disclosure,2018 年 1 月)。這個類別缺乏正式的追蹤機制,代表大多數失敗案例都是由獨立研究人員在任何協調揭露流程之外發現的。
如何實際評估一款保險箱 App
你不需要進行逆向工程。五個問題就能過濾大多數風險。第一:它是否列出加密演算法?「AES-256」或「AES-GCM」是可查核的聲明,「軍事級」則不是。第二:它是否需要帳號?電子郵件地址和密碼會產生一個可能洩露的憑證庫,Brain Craft 的 Firebase 事件已說明這一點。第三:如果備份至雲端,金鑰由誰持有?如果服務商能重設你的密碼並還原你的相片,它就能讀取你的相片,任何入侵服務商的人也能做到。
第四:App 隱私權標籤和政策說了什麼?開啟 App 隱私權標籤,如果它追蹤你或將你的相片連結至你的身分,請相信這份聲明。閱讀政策中的廣告 SDK 揭露。第五:它是否可被稽核?「未收集資料」標籤、附帶金鑰衍生細節的具名加密演算法,以及開放原始碼,都是 App 願意接受外部審視的信號。無法被查核的 App,是在賭你不會去查。
Vaultaire 在這張圖中的位置
我們根據上述具體的失敗類型建立了 Vaultaire,因此用這些標準來衡量我們,比用行銷詞彙更公平。Vaultaire 從你繪製的 5x5 圖案衍生出 AES-256-GCM 加密金鑰,圖案用於生成金鑰後不予儲存,因此不存在可洩露的密碼檔案,伺服器上也沒有任何可遭暴力破解的資料。無需帳號,意味著沒有電子郵件地址,也沒有憑證庫,這正是 Brain Craft 事件中洩露的那類資訊。
Vaultaire 採用零知識架構:你的檔案和金鑰不會以可讀形式離開裝置。選用的 iCloud 備份在離開你的手機之前即完成加密,因此我們無法讀取,任何入侵伺服器的人也無法讀取。我們不持有你的資料金鑰,這意味著針對我們的資安事件不會成為針對你的資安事件。這不是說 Vaultaire 是唯一安全的選擇,而是關於架構的聲明:能夠避免已記錄失敗案例的模型,是服務提供者從不持有你的金鑰、且從不收集你的資料的那一種。本次稽核中也有其他幾款 App 在某些方面做到了這一點,我們在報告中均有提及。這次稽核的意義在於:你現在可以自行查核任何聲明。
相關閱讀:
參考資料
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
常見問題
相片保險箱 App 真的安全嗎?
這完全取決於具體的 App,且大多數 App 比表面看起來更脆弱。在我們 2026 年 6 月針對 12 款最多人安裝的 iOS 保險箱 App 所做的稽核中,12 款中有 7 款宣告會跨 App 和網站追蹤使用者,只有 1 款在頁面中列出具體的加密演算法。十年來的研究屢屢發現 App 以「加密」為行銷手段,實際上卻將檔案以明文儲存,或只做表面的混淆處理。安全的 App 會說明真實的加密演算法、不需要帳號,且不持有你的資料金鑰。
相片保險箱的開發者能看到我的相片嗎?
如果 App 將你的相片儲存在自己的雲端,且能在你忘記密碼時還原帳號,那麼可以:開發者持有加密金鑰,在技術上可以存取你的相片,任何入侵開發者伺服器的人也能做到。獨立分析發現 Keepsafe 正是如此。採用零知識或純本地架構的 App 無法查看你的相片,因為它們從不持有金鑰。
Private Photo Vault(Pic Safe)真的有加密嗎?
Private Photo Vault 的選用雲端保險箱列出了 AES-256,這是一個真實的加密演算法。但這款 App 有一段有據可查的弱點歷史:2014 年未發現加密(Zdziarski),2015 年在 30 分鐘內被破解(IOActive),2019 年發現靜態且從不輪換的主金鑰(forensicmike1)。其目前的 App Store 隱私權標籤也宣告它會追蹤你,並將你的相片連結至你的身分。
相片保險箱 App 真的有使用加密,還是只有 PIN 碼保護?
許多 App 只是在隱藏資料夾上套用 PIN 碼,這並不是加密。隱藏只是將檔案移至較不顯眼的位置,任何透過備份或鑑識工具存取到該位置的人都能讀取檔案。2022 年一項針對 20 款 Android 保險箱 App 的同儕審查研究(Ruffin 等人,ACM WPES)發現,只有 5 款嘗試了真正的檔案加密,15 款只需一個簡單的 adb pull 即可完整還原。真正的加密會將檔案轉換為需要金鑰才能讀取的密文。
如果我刪除了保險箱 App,我的相片會怎樣?
如果 App 只是隱藏檔案而未加密,這些檔案可能仍留在裝置的可存取位置或備份中。如果 App 在本地端加密了檔案,而你在未匯出的情況下刪除 App,密文可能因金鑰已消失而無法還原。如果 App 使用雲端儲存,檔案可能仍保留在服務商的伺服器上。在解除安裝前,請務必查閱 App 的匯出和刪除說明文件。
鑑識工具或警方能繞過相片保險箱的 PIN 碼嗎?
純 PIN 碼保護對鑑識提取工具的抵抗力很低。2014、2015、2017 和 2022 年的研究顯示,保險箱 App 的 PIN 碼可在數分鐘內被繞過,或完全不需要任何驗證即可還原檔案。Private Photo Vault 2019 年版本中的 4 位數 PIN 被認定極易遭到暴力破解。搭配強金鑰衍生函數的真正檔案加密能大幅提高安全門檻,而單純的 PIN 閘門做不到這一點。
Keepsafe 有出售我的資料嗎?
Keepsafe 的隱私政策是我們稽核集中唯一一份明確表示某些資料共享在加州法律下可能被歸類為「出售」或「共享」個人資訊的政策,同時也提及廣告合作夥伴。這是其他 App 未做出的揭露。是否構成出售取決於所適用的法律定義,但就此議題而言,這份政策是該類別中最為明確的。
隱藏相片和加密相片有什麼不同?
隱藏是將檔案移至裝置上較不顯眼的位置,底層檔案本身未改變,任何能存取該儲存位置的人(包括備份工具或鑑識軟體)都能讀取。加密則將檔案轉換為沒有正確金鑰就無法讀取的密文。許多保險箱 App 只做隱藏。2022 年一項學術研究(Ruffin 等人)發現,20 款熱門 Android 保險箱 App 中有 15 款只需基本的 adb pull 指令即可還原,完全不需要解密。
在相片保險箱 App 中啟用雲端備份安全嗎?
只有在備份離開裝置之前已完成加密,且服務提供者無法解密的情況下才安全。如果服務商能在你遺失密碼時還原你的檔案,代表備份可被服務商讀取,且在任何伺服器事件中都會暴露。2025 年 Brain Craft 的 Firebase 事件正是因為雲端端完全沒有保護,才洩露了電子郵件地址、明文密碼和資料夾名稱。請尋找在上傳前進行加密的零知識架構。
哪款相片保險箱 App 不需要帳號或網路連線?
有幾款 App 可完全離線運作且無需帳號。在我們的稽核中,有兩款標示了 Apple 的「未收集資料」標籤:Safe Lock 和 Secret Photo Vault Lock Photos。Vaultaire 無需帳號、無需電子郵件地址,也無需網路連線即可加密和儲存檔案。無需帳號從根本上消除了憑證庫攻擊面,這正是 2025 年 Brain Craft Firebase 事件所示範的那類暴露風險。