照片保险箱应用安全吗?信任前必须检查的事项
照片保险箱应用承诺保护您的私密照片。然而许多应用的实际做法与您的假设恰恰相反:它们只是用 PIN 码隐藏图片,没有任何加密,还有一些会悄悄收集您的数据。以下是如何辨别其中安全应用的方法。
照片保险箱应用有些安全,有些则不安全。安全的应用会使用只有您掌控的密钥对照片进行加密,并将所有内容保存在您的设备上。有风险的应用只是用 PIN 码隐藏照片,以未加密形式存储,投放广告,或者将您的相册上传到服务器。在信任任何保险箱应用之前,请确认它使用真正的端对端或零知识加密,检查其 App Store 隐私标签,并测试它是否能在离线状态下正常使用。
隐藏与加密并非同一回事
最重要的一点是:隐藏照片和加密照片是完全不同的两件事。许多保险箱应用,包括大多数计算器风格的应用,只是将图片移至私有文件夹,并在前面加一道 PIN 码屏幕。文件本身以明文形式存储在磁盘上。任何将手机连接到电脑、运行取证工具或通过备份找到文件的人,都可以在不输入 PIN 码的情况下打开这些文件。
真正的加密会使用密钥将照片转变为无法读取的数据。没有该密钥,即使持有原始存储介质的人也无法使用该文件。当一款应用声称采用零知识或端对端加密时,意味着密钥由您的秘密派生,且从不离开您的设备,连应用开发者也无法查看您的照片。这才是您真正需要的功能。
保险箱应用不安全的危险信号
警惕那些只提到 PIN 码、密码或 Face ID,从不提及加密的应用。对充斥广告的免费保险箱应用保持警惕,因为其商业模式往往以您的数据为代价。检查应用是否需要账户或网络连接才能打开您自己的照片,这表明您的相册可能正在被上传到某处。
仔细查看 App Store 隐私标签。如果一款主打保密的应用声称会收集与您身份相关联的数据,这与其本身的目的相矛盾。历史上不乏保险箱应用泄露照片、将照片存储在公开云存储桶中,或因收割用户数据而被悄然下架的案例。保险箱的可信度,取决于它在您不注意时的所作所为。
计算器保险箱的陷阱
计算器保险箱应用将自身伪装成一个可用的计算器,输入特定代码后会显示隐藏的相册。这种伪装有时确实有用,但伪装并不等于安全。大多数此类应用仍将照片以未加密形式存储在虚假计算器背后,所以这种保护纯粹是视觉上的。更糟糕的是,这种伪装已众所周知,任何怀疑的人都可以搜索到该应用,并在数秒内破解。
伪装作为真正加密的附加功能是不错的,但用来替代加密则十分危险。如果您喜欢「隐藏在明处」的理念,请选择一款真正对内容进行加密且恰好比较低调的应用,而非一款看起来加了锁的应用。
两分钟内如何评估一款照片保险箱应用
从 App Store 页面开始。在描述中搜索「端对端加密」或「零知识加密」,并阅读「App 隐私」部分,了解开发者收集哪些数据。打开隐私政策,确认其明确说明照片在设备上加密,且公司无法读取。然后安装应用,添加一张无关紧要的图片,开启飞行模式,确认保险箱仍然可以打开。如果无法离线使用,您的照片很可能正在离开手机。
最后,检查保险箱的解锁方式。如果使用手机解锁码,那么任何能解锁手机的人都可以打开保险箱。最安全的设计是使用独立的秘密。例如,Vaultaire 使用由您设置的图案派生的密钥加密每个文件,不存储任何可读内容,且完全在设备上运行,因此即使有人拿着您已解锁的手机,您的照片也能保持私密。
相关阅读:
参考来源
常见问题
计算器保险箱应用安全吗?
通常不像人们以为的那样安全。大多数计算器保险箱应用将照片隐藏在虚假计算器后面,但并不对其加密,因此无需代码即可恢复文件。只有当伪装建立在真正加密的基础上时,它才是安全的。
如何判断照片保险箱应用是否对我的照片进行了加密?
在 App Store 的应用说明和隐私政策中查找「端对端加密」或「零知识加密」等字样。如果应用只提到 PIN 码、密码或 Face ID,说明它是在隐藏照片,而非进行加密。
免费的照片保险箱应用安全吗?
有些是安全的,但依赖广告或要求账户和网络访问权限的免费保险箱应用值得格外审视,因为其商业模式可能以您的数据为代价。查看 App Store 隐私标签,了解该应用收集哪些数据。
什么让照片保险箱应用真正安全?
在设备上进行零知识加密,密钥由只有您知道的秘密派生,在任何服务器上都没有可读副本,并使用独立的图案或口令而非手机解锁码进行解锁。Vaultaire 就是按照这种方式构建的。