照片保险库应用安全吗?2026年安全审计报告
大多数iOS照片保险库应用保护的是屏幕,而不是文件。在我们2026年6月对12款最受欢迎的保险库应用的审计中,只有一款在其App Store列表中标注了具体的加密算法,12款中有7款声明会追踪你。值得信赖的应用是少数:标注真实加密算法、不持有你的数据密钥、不收集任何信息。
照片保险库应用的安全性并不统一。在我们2026年6月对12款最受欢迎的iOS保险库应用的审计中,12款中有7款声明跨应用和网站追踪用户,只有1款在其列表中标注了具体的加密算法。十年来的独立研究反复发现,一些应用宣传"加密",实际上却以明文存储文件或使用简单混淆。安全的应用标注真实加密算法、无需账户、且不持有你的数据密钥。
我们审计了什么,以及我们没有测试什么
我们于2026年6月按商店排名和评分数量从美国App Store中提取了顶级照片保险库和隐藏照片应用的应用隐私标签、已发布的隐私政策和App Store描述。我们按每款应用的实际安全模型进行分类,并交叉参考了十年来有据可查的保险库应用安全漏洞,只保留可追溯到主要或经证实来源的事件。
有两个局限需要注意。首先,App Store隐私标签是自我报告的;Apple不对其进行审计,因此应用可能声明的信息少于其实际收集的信息。其次,这是一次标签、政策和架构审查,加上公共事件记录。我们没有运行实时网络捕获,因此对我们未亲自观察的流量不作任何声明。这里的所有内容均可根据本页底部列出的来源进行核实。
发现一:"加密" 通常只是一个词,而非可验证的事实
这一类别依赖"军事级加密"这个短语。它本身没有任何意义。AES-256是一个没有军事等级的公开标准;这个短语是营销话术,之所以能存活下来是因为它听起来像一个技术规格。真正重要的是应用是否标注了可供评估的加密算法、密钥长度和密钥派生方法。
在12款应用的标签审计中,只有一款在其App Store描述中标注了具体的加密算法:Secret Photos KYMS,它写明了"AES"。其他每款应用要么写"军事级加密"、"加密存储"、"零知识架构",要么根本没有提及加密。深入研究八款应用的开发者网站和政策,只有三款在其官方材料中的任何地方标注了真实的加密算法:LockMyPix标注了AES-CTR,Private Photo Vault的可选云保险库标注了AES-256,Calculator# 披露了AES-256和200,000次迭代的PBKDF2。这三款应用因展示了其工作细节而值得肯定。
大多数保险库应用模糊了一个重要区别:隐藏照片不等于加密照片。隐藏是将文件移到一个不那么显眼的地方。加密是将其转换成没有密钥就无用的密文。一个保护普通文件夹的PIN屏幕是一道幕布,而不是一堵墙。任何通过备份、取证工具或adb命令访问底层文件的人都能直接进入。
发现二:隐私标签透露的信息比营销内容更多
Apple的应用隐私标签是App Store中最诚实的页面,因为在其上撒谎属于违反政策的行为。这是营销文案与实际数据实践不再一致的地方。我们2026年6月的审计发现,12款应用中有7款声明"用于追踪你的数据",这是Apple对跨其他公司应用和网站追踪你的数据的术语。只有2款应用带有Apple的"未收集数据"标签(这是商店中最强的隐私证明):Safe Lock和Secret Photo Vault Lock Photos。
该组中评分最高的两款应用,Private Photo Vault(Pic Safe)和SV Private Photo Vault PRO,均由Legendary Software Labs发布,合计约有1,026,000条评分。两者都追踪用户,并且根据其自身标签,将你的照片、视频和设备标识符与你的身份关联。Best Secret Folder在该组中拥有最广泛的"关联到你"数据足迹:位置、完整联系信息(包括姓名、电子邮件和电话),以及你的照片、视频和音频,同时还投放广告。一款将你的照片与你的身份关联并在其他应用中追踪你的私人照片应用,解决的是一个与你下载它的目的不同的问题。
审计中剩余的应用也各有其故事。Private Photo Vault(Pic Safe)和SV Private Photo Vault PRO在其列表中没有标注加密算法,只使用"用于加密/解密的密钥值"这样的短语。Keepsafe将其加密描述为"军事级",但没有标注算法。Privault写"加密存储"。HiddenVault声称"零知识架构",但没有标注任何算法。Calculator# 在其App Store列表中没有标注加密算法。Best Secret Folder和Hide It Pro完全没有提及加密。只有KYMS标注了AES,只有Encamera是开源的,这提供了另一种可验证性。
发现三:账户和云端后台是第二个攻击面
本地文件处理可以无懈可击,但应用仍然可能泄露数据,因为后台是一个独立的攻击面。需要账户并将文件存储在自己服务器上的应用,是在要求你信任一个你无法审查的数据库。
Keepsafe是这种结构性选择最典型的例子。它要求你在使用前提供电子邮件地址,将内容存储在自己的服务器上,而且一项独立安全分析发现该公司保留了访问用户照片的能力。其隐私政策也是我们审计组中唯一承认某些数据共享在加利福尼亚州法律下可能被归类为出售或共享你的个人信息的政策。这是其他应用没有作出的披露,它告诉你谁持有密钥。当供应商持有加密密钥时,供应商遭到入侵就等于你的数据遭到入侵。避免这种情况的模式是零知识加密,即提供商无法读取你的数据,因为它从不持有密钥。
2025年发生的一个典型案例说明了问题所在。一款名为Photo Vault、由开发者Brain Craft发布的独立应用,将其Firebase数据库设置为无密码保护。这一漏洞由Cybernews于2025年报道,并获The Dead Pixels Society证实。它暴露了这款拥有约72,000次下载量的应用的用户电子邮件地址、明文密码、文件和文件夹名称,以及应用安全笔记功能的内容。需要说明的是:这款Brain Craft应用与Legendary Software Labs出品的Private Photo Vault或Pic Safe不是同一款产品,尽管名称相似。照片本身不在数据库中,但攻击账户所需的所有信息都在,包括以明文存储的密码,而保险库应用永远不应该以可读形式持有密码,更不用说将其泄露了。
发现四:"私密"应用内部的广告SDK
我们阅读的八份隐私政策中有七份提及了第三方广告。最突出的是NQ Vault(也以Vault-Hide名义发布),其政策列出了嵌入应用的六个广告SDK:AdMob、Facebook Audience Network、InMobi、MoPub、AppLovin和Unity。广告网络的工作是建立用户画像。在一款以隐私为核心承诺的应用中嵌入六个广告网络,是这一类别中最具讽刺意味的行为,而且这是政策文本中明确写明的,不是我们的推测。
来自八款应用政策审查的更广泛模式:八款应用中只有一款,即LockMyPix,将无广告定位为其核心模式。Private Photo Vault提及了第三方Cookie和广告。Privault列出了AdMob和Umeng分析。Best Secret Folder提及了定向广告、Google Analytics和Firebase。Hide It Pro提及了第三方广告SDK。不使用云端、无需账户且标注加密算法的应用是例外,而非默认。
十年来有据可查的安全漏洞
这些问题并不新鲜。自2014年以来,"加密"实为非加密的模式已被具名研究人员和同行评审研究反复记录。以下是附有可信度等级的事件记录,因为其中一些来源比其他来源更可靠。
2014年9月,取证研究员Jonathan Zdziarski指出,Private Photo Vault(当时报告用户超过300万)除了默认iOS存储外没有进行任何加密。照片可以在大约五分钟内以明文恢复。此事件已通过zdziarski.com的主要来源得到核实。
2015年4月,The Register和Slate报道,NQ Mobile Vault(宣传"加密",下载量超过1,000万)仅对每个文件的前128字节应用了单字节XOR操作。这意味着只有256个可能的密钥,而每个文件的其余部分均为明文。此事件已得到核实。
2015年11月,IOActive研究员Michael Allen测试了Private Photo Vault、一款名为"My Media"的应用和Keepsafe,在30分钟内分别破解了这三款应用。方法包括:以明文存储在属性列表文件中的PIN、在5555端口运行的未经身份验证的Web服务器,以及从服务器以明文形式返回的相册密码。此事件已得到核实。
2017年,Zhang、Baggili和Breitinger在《Computers and Security》(第70卷)发表了一项同行评审研究,分析了18款合计下载量约为2.2亿的Android保险库应用。六款没有对存储的照片进行加密,7款以明文存储密码,10款在没有root权限的情况下就暴露了隐藏数据。这项研究还帮助在一起刑事案件中恢复了证据:66张图片和18段视频。此研究已得到核实。
2019年6月,以forensicmike1为名发表的研究员发现,Private Photo Vault已通过RNCryptor添加了AES加密,但主密钥静态存储在iOS密钥链中,且在用户更改PIN时从不轮换。4位数PIN使密钥极易被暴力破解。此事件已得到核实。
2022年,Ruffin等人在ACM WPES发表了一项同行评审研究,分析了20款下载量各超过1,000万的热门Android保险库应用。只有5款进行了文件加密。15款只需一个简单的adb pull命令就能完全恢复,7款以明文存储PIN或恢复邮件。此研究已得到核实。
2025年2月,卡巴斯基报告了SparkCat活动:在App Store和Google Play上均发现的恶意软件,利用设备端光学字符识别扫描用户照片库中的加密货币助记词和密码截图,然后将匹配项泄露出去。Apple和Google已将相关应用下架。这是首个已知通过App Store审核的基于OCR的照片窃取软件。此事件已得到核实。
还有两起事件经过部分核实,阅读时需注意这一说明。2021年的一项分析发现,一系列计算器样式的Android保险库应用共享一个单一的硬编码AES-CBC密钥,即所有安装共享同一密钥,这意味着一个已知密钥可以解密每个用户的媒体文件。这已得到部分核实,来自单一技术性研究员。此外,Vault-Hide应用于2017年被印度电子和信息技术部标记为泄露电话号码、IMEI号码和已安装应用列表,据报道通过重命名自身来逃避下架。这已通过Cybernews和CPO Magazine的二手来源得到部分核实。
有一个数据点值得注意,因为它的缺失:我们没有发现任何消费级照片保险库应用被分配CVE编号。最接近的正式披露是2018年针对一款不相关的"Photo Vault"产品的公告,涉及未经身份验证的WiFi服务器,严重性评级为中等(CVSS 4.8),未发布CVE(seclists.org Full Disclosure,2018年1月)。这一类别没有被正式追踪,这意味着这些漏洞大多是由独立研究人员在任何协调披露流程之外发现的。
如何真正评估一款保险库应用
你不需要进行逆向工程。五个问题可以过滤大多数风险。第一:它是否标注了加密算法?"AES-256" 或 "AES-GCM" 是可以核实的声明。"军事级" 则不是。第二:它是否需要账户?电子邮件和密码创建了一个可能泄露的凭据存储库,正如Brain Craft Firebase事件所示。第三:如果它备份到云端,谁持有密钥?如果供应商可以重置你的密码并恢复你的照片,供应商就可以读取你的照片,任何入侵供应商的人也可以。
第四:应用隐私标签和政策说了什么?打开应用隐私部分。如果它追踪你或将你的照片与你的身份关联,请相信它。阅读政策中关于广告SDK的披露。第五:它是否可审计?"未收集数据"、标注了密钥派生细节的具体加密算法,以及开源代码,都是应用期望被审查的信号。无法被检查的应用是在依赖你不去检查它们。
Vaultaire 在这一格局中的定位
我们围绕上述记录在案的具体漏洞类型构建了Vaultaire,因此用这些标准而非营销话术来衡量我们是合理的。Vaultaire从你绘制的5x5图案中派生你的AES-256-GCM加密密钥;图案生成密钥后不会被存储,因此没有密码文件可以泄露,服务器上也没有任何东西可以被暴力破解。没有账户,意味着没有电子邮件地址,也没有凭据存储库。这正是Brain Craft事件中泄露的那类信息。
Vaultaire是零知识的:你的文件和密钥永远不会以可读形式离开设备。可选的iCloud备份在离开你的手机之前就已加密,因此我们无法读取它,入侵服务器的人也无法读取。我们不持有你的数据密钥,这意味着我们被入侵不等于你被入侵。这并不是说Vaultaire是唯一安全的选择。这是一个关于架构的声明:避免已记录在案的漏洞的模式,是提供商从不持有你的密钥、从不收集你的数据。其他一些应用在这方面做到了部分正确,我们在整个审计中都提到了它们。这次审计的意义在于,你现在可以自己核实任何声明。
相关阅读:
参考来源
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
常见问题
照片保险库应用真的安全吗?
这完全取决于具体的应用,而且大多数应用比表面看起来更脆弱。在我们2026年6月的审计中,12款最受欢迎的iOS保险库应用中有7款声明追踪你,只有1款在其列表中标注了具体的加密算法。十年来的研究反复发现,一些应用宣传"加密",实际上却以明文存储文件或使用简单混淆。安全的应用标注真实加密算法、无需账户、且不持有你的数据密钥。
照片保险库开发者能看到我的照片吗?
如果应用将你的照片存储在自己的云端,并且能够在你忘记密码时恢复你的账户,那么答案是肯定的:开发者持有加密密钥,从技术上可以访问你的照片,入侵开发者服务器的人也可以。一项独立分析发现Keepsafe存在这种情况。零知识或纯本地存储的应用无法看到你的照片,因为它们从不持有密钥。
Private Photo Vault(Pic Safe)真的加密了吗?
Private Photo Vault的可选Cloud Vault标注了AES-256,这是一个真实的加密算法。但该应用有一段有据可查的漏洞历史:2014年未发现加密(Zdziarski),2015年在30分钟内被破解(IOActive),2019年发现静态且不轮换的主密钥(forensicmike1)。其当前的App Store隐私标签也声明它追踪你并将你的照片与你的身份关联。
照片保险库应用真的使用了加密,还是只是一个PIN?
许多应用只是在隐藏文件夹上设置了PIN,这不是加密。隐藏是将文件移到一个不那么显眼的位置;文件仍然可以被任何通过备份或取证工具访问它的人读取。2022年一项对20款Android保险库应用的同行评审研究(Ruffin等人,ACM WPES)发现只有5款进行了真正的文件加密,15款只需一个简单的adb pull命令就能完全恢复。真正的加密会将文件转换成需要密钥才能读取的密文。
如果我删除保险库应用,我的照片会怎样?
如果应用只是隐藏了文件(没有加密),文件可能仍然以可访问的形式存在于设备上或备份中。如果应用在本地对文件进行了加密,而你在没有导出的情况下删除了应用,密文可能会因为密钥丢失而变得无法恢复。如果应用使用了云存储,文件可能仍然保留在供应商的服务器上。在卸载之前,请查阅应用的导出和删除文档。
取证工具或警方能绕过照片保险库的PIN吗?
仅有PIN保护对取证提取工具几乎没有抵抗力。2014年、2015年、2017年和2022年的研究表明,保险库应用的PIN可以在数分钟内被绕过,或者根本不需要任何身份验证就能恢复文件。Private Photo Vault 2019年实现中发现的4位数PIN被指出极易被暴力破解。使用强密钥派生函数的真正文件加密大幅提高了门槛;而仅有PIN保护则不然。
Keepsafe会出售我的数据吗?
Keepsafe的隐私政策是我们审计组中唯一明确表示某些数据共享在加利福尼亚州法律下可能被归类为"出售"或"共享"个人信息的政策。该政策还提及了广告合作伙伴。这是审计组中其他应用没有作出的披露。这是否构成出售取决于适用的法律定义,但该政策在这一点上是该类别中最为明确的。
隐藏照片和加密照片有什么区别?
隐藏是将文件移到设备上一个不那么显眼的地方;底层文件没有任何改变,任何能够访问存储的人(包括备份工具或取证软件)都可以读取它。加密是将文件转换成没有正确密钥就无法读取的密文。许多保险库应用只是隐藏文件。2022年的一项学术研究(Ruffin等人)发现,20款热门Android保险库应用中有15款只需一个基本的adb pull命令就能恢复,无需任何解密。
在照片保险库应用中启用云备份安全吗?
只有在备份离开你的设备之前就已加密,且服务提供商无法解密时才安全。如果供应商可以在你丢失密码时恢复你的文件,备份就可以被供应商读取,并在任何服务器泄露中暴露。2025年Brain Craft Firebase事件暴露了电子邮件、明文密码和文件夹名称,正是因为云端没有任何保护。寻找在上传前加密的零知识架构。
哪款照片保险库应用不需要账户或互联网连接?
有几款应用可以完全离线运行,无需账户。在我们的审计中,两款应用带有Apple的"未收集数据"标签:Safe Lock和Secret Photo Vault Lock Photos。Vaultaire无需账户、无需电子邮件地址,也不需要网络连接来加密和存储文件。不需要账户从根本上消除了凭据存储库攻击面,这正是2025年Brain Craft Firebase事件所展示的漏洞类型。