Come nascondere foto su iPhone — Ogni metodo, valutato onestamente

TL;DR

L'Album nascosto integrato dell'iPhone rimuove le foto dalla vista principale della libreria, ma le lascia visibili in un album "Nascosto" dedicato che chiunque può aprire. La Cartella bloccata in iOS 16+ aggiunge la protezione Face ID, ma mostra comunque l'esistenza della cartella. Le app cassaforte dedicate come AppVault crittografano i file con AES-256-GCM, derivano le chiavi tramite PBKDF2 con 600.000 iterazioni e possono camuffare l'app stessa come una calcolatrice — nessuna di queste funzionalità è offerta dagli strumenti nativi. Il metodo giusto dipende da chi stai proteggendo.

L’Album nascosto integrato: cosa fa realmente

Apple ha aggiunto l’Album nascosto a iOS come funzionalità di comodità. Rimuove foto e video selezionati dalla vista principale della libreria — la scheda Foto, la scheda Per te e i Ricordi. I file vengono spostati in un album dedicato che si trova in Album → Utility → Nascosto.

Questo è l’intero meccanismo. Nessuna password. Nessun gate biometrico. Nessuna modifica alla crittografia. I file risiedono nello stesso contenitore non crittografato di ogni altra foto sul dispositivo, indicizzati dallo stesso database, visibili a chiunque navighi fino alla schermata giusta.

Apple ha aggiunto un interruttore in iOS 14 che permette di nascondere l’elenco dell’Album nascosto stesso. Vai su Impostazioni → Foto e disattiva “Album nascosto”. L’album scompare dalla sezione Utility. Ma le foto sono ancora indicizzate. Appaiono ancora nei risultati di ricerca. Emergono ancora nei suggerimenti Siri. L’interruttore è una modifica dell’interfaccia utente, non un controllo di sicurezza.

Quando l’Album nascosto è sufficiente: Vuoi tenere lontane mani curiose — un amico che scorre il tuo rullino, un bambino che tocca a caso — dall’imbattersi in immagini specifiche. L’Album nascosto rimuove le foto dal flusso di navigazione predefinito. Per questo scopo ristretto, funziona.

Quando non è sufficiente: Chiunque apra l’app Foto con intenzione può trovare l’Album nascosto in meno di cinque secondi. Non richiede alcun passaggio di autenticazione. Se il tuo modello di minaccia include una persona che sa cosa cercare, l’Album nascosto non è una barriera.

La Cartella bloccata (iOS 16 e successivi)

iOS 16 ha introdotto la Cartella bloccata, che aggiunge la protezione Face ID o Touch ID alle foto nascoste. Quando sposti le foto nella Cartella bloccata, l’app Foto richiede l’autenticazione biometrica prima di visualizzarle.

Questo è un passo avanti significativo rispetto all’Album nascosto. Una persona che scorre il tuo telefono non può aprire la Cartella bloccata senza il tuo volto o impronta digitale. I file sono anche esclusi dalla sincronizzazione di iCloud Foto — rimangono solo sul dispositivo.

Ma la Cartella bloccata ha i suoi limiti. La cartella stessa è visibile nell’app Foto. Un osservatore può vedere che esiste una Cartella bloccata e dedurre che contiene contenuti che hai scelto di proteggere. La cartella mostra un’icona a lucchetto e un’etichetta. Annuncia la propria esistenza.

La Cartella bloccata inoltre non crittografa i file separatamente dal resto del sistema di protezione dati di iOS. Quando il dispositivo è bloccato, tutti i file sono protetti dalla crittografia hardware legata al tuo codice di sblocco. Quando il dispositivo è sbloccato, la Cartella bloccata aggiunge un gate biometrico — ma l’archiviazione sottostante è lo stesso volume APFS crittografato che protegge tutto il resto sul telefono.

Quando la Cartella bloccata è sufficiente: Vuoi una protezione biometrica contro qualcuno che ha il tuo telefono sbloccato in mano. Un collega, un familiare, un amico — qualcuno che può interagire fisicamente con il dispositivo ma non può autenticarsi come te.

Quando non è sufficiente: La Cartella bloccata non nasconde il fatto che esista contenuto nascosto. Non protegge contro qualcuno che conosce il codice di sblocco del dispositivo (poiché il codice può sovrascrivere Face ID). Non crittografa i file con una chiave separata. E non aiuta se hai bisogno che l’app cassaforte stessa sia invisibile.

Dove gli strumenti nativi falliscono

Il problema centrale di entrambe le opzioni native Apple è architetturale. L’app Foto è un’unica applicazione con un unico archivio dati. Nascondere una foto significa cambiare un flag in una riga del database. Il file rimane nella stessa directory, sulla stessa memoria flash, referenziato dallo stesso indice.

Questo ha conseguenze concrete:

Ricerca e Siri. Anche con l’interruttore dell’Album nascosto disattivato, le foto possono emergere nella ricerca Spotlight, nei suggerimenti Siri e nella barra di ricerca all’interno di Foto. La pipeline di indicizzazione di Apple non rispetta completamente il flag nascosto.

Album condivisi e AirDrop. Le foto nascoste possono ancora essere selezionate per AirDrop o album condivisi se l’utente vi naviga tramite ricerca o un link condiviso. Il meccanismo di occultamento è un filtro di visualizzazione, non un controllo di accesso.

Backup. Le foto dell’Album nascosto e della Cartella bloccata sono incluse nei backup iCloud e nei backup iTunes/Finder. Se qualcuno ottiene accesso al tuo account iCloud o a un file di backup locale, le foto nascoste sono lì.

Eliminati di recente. Quando elimini una foto — nascosta o meno — questa si sposta nella cartella Eliminati di recente e rimane recuperabile per 30 giorni. L’Album nascosto non modifica questo comportamento.

Accesso forense. Gli strumenti utilizzati nella forensica dei dispositivi leggono direttamente la memoria flash o estraggono il database delle Foto. Un flag booleano in una colonna SQLite non ferma un esaminatore forense.

Per i modelli di minaccia che contano — ispezioni doganali e di frontiera, iPad familiari condivisi, prestare il telefono a qualcuno, vendere o permutare un dispositivo — gli strumenti nativi lasciano lacune che un’app cassaforte dedicata è progettata per colmare.

Come funzionano le app cassaforte dedicate

Un’app cassaforte adotta un approccio fondamentalmente diverso. Invece di attivare un flag di visibilità all’interno dell’app Foto, rimuove i file dalla libreria Foto completamente e li archivia in un contenitore crittografato controllato dall’app.

Il flusso di lavoro tipico:

1. Importazione. L’utente seleziona foto o video dalla libreria Foto. L’app cassaforte li copia nella propria archiviazione sandbox.
2. Crittografia. Ogni file viene crittografato con una chiave simmetrica derivata dalla passphrase o dallo schema dell’utente. Nel caso di AppVault, il cifrario è AES-256-GCM con un nonce unico a 96 bit per file, e la chiave è derivata tramite PBKDF2-SHA256 a 600.000 iterazioni con un sale a 128 bit per installazione.
3. Eliminazione degli originali. L’app elimina i file originali dalla libreria Foto, inclusi quelli nella cartella Eliminati di recente, in modo che non rimanga traccia nel database nativo delle foto.
4. Archiviazione. I file crittografati vivono all’interno del sandbox dell’app. Il sandbox di iOS impedisce ad altre app di leggere i dati. La crittografia impedisce a chiunque estragga i contenuti del sandbox di leggere i file senza la chiave.

Il risultato: le foto non esistono più nell’app Foto, nella ricerca, nei suggerimenti Siri, negli album condivisi o nel rullino fotografico. Esistono solo come testo cifrato all’interno del contenitore dell’app cassaforte.

Cosa significa realmente la crittografia qui

Lo stack crittografico di AppVault è pubblicato integralmente nella pagina crittografia. La versione breve:

• AES-256-GCM (Galois/Counter Mode) fornisce crittografia autenticata. Ogni file riceve un nonce unico a 96 bit, quindi due foto identiche producono testo cifrato completamente diverso. L’algoritmo è specificato in NIST FIPS 197 e NIST SP 800-38D.
• PBKDF2-SHA256 a 600.000 iterazioni converte lo schema dell’utente in una chiave crittografica. Il numero di iterazioni segue la raccomandazione OWASP 2026 per la derivazione di chiavi basata su password. Un sale casuale a 128 bit, generato una volta durante l’installazione, garantisce che due dispositivi con lo stesso schema producano chiavi diverse.
• Wrapping dell’Enclave Sicura. L’output di PBKDF2 viene avvolto da una chiave generata all’interno dell’Enclave Sicura dell’iPhone. La chiave dell’Enclave non lascia mai il chip. Sui dispositivi con Enclave Sicura (iPhone 5s e successivi), ciò significa che il materiale chiave è legato all’hardware e non può essere estratto dal solo software.

Questo non è linguaggio di marketing. Ognuna di queste scelte ha una proprietà di sicurezza specifica. L’alto numero di iterazioni rende gli attacchi di forza bruta sullo schema computazionalmente costosi. Il nonce per file impedisce l’analisi dei pattern attraverso il testo cifrato. Il legame con l’Enclave Sicura significa che anche se qualcuno copia il contenitore crittografato su un altro dispositivo, i file non possono essere decifrati senza l’hardware originale.

Il Lanciatore Calcolatrice: nascondere chi nasconde

La crittografia protegge i file. Ma se l’app cassaforte stessa è visibile sulla schermata Home, un osservatore sa che esiste contenuto nascosto. L’icona dell’app è un segnale.

Il Lanciatore Calcolatrice di AppVault affronta questo problema fornendo una calcolatrice iOS perfettamente funzionante come interfaccia principale dell’app. L’utente apre l’app, vede una calcolatrice standard e può eseguire calcoli normalmente. Una pressione prolungata sul tasto uguale apre la cassaforte crittografata.

Non è una calcolatrice finta. È una vera calcolatrice che per caso ha anche una cassaforte dietro un gesto specifico. Il design è costruito per soddisfare la linea guida Apple 4.3 (icone alternative) fornendo una genuina funzionalità di calcolatrice.

Il Lanciatore Calcolatrice cambia il modello di minaccia. Una persona che prende il tuo telefono e vede un’app calcolatrice sulla schermata Home non ha motivo di sospettare che contenga foto crittografate. Un ufficiale doganale che scorre le app vede una calcolatrice. Un amico a cui presti il telefono vede una calcolatrice.

Questa non è invisibilità. Un esame forense dell’identificatore del bundle e delle autorizzazioni dell’app rivelerebbe la sua vera natura. Ma per gli scenari pratici che la maggior parte delle persone affronta — una persona con accesso fisico e intenzione casuale — il Lanciatore Calcolatrice alza la barriera da “apri l’ovvia app cassaforte” a “capisci che la calcolatrice non è una calcolatrice”.

La Cassaforte Decoy: due album, un dispositivo

Alcune situazioni richiedono più di un’app nascosta. Se qualcuno sa che usi un’app cassaforte e chiede l’accesso, una singola password crea un problema: il rifiuto implica colpa e la conformità vanifica lo scopo.

La Cassaforte Decoy di AppVault fornisce un secondo schema 5×5 che apre un catalogo cassaforte separato e matematicamente indipendente. La cassaforte decoy è uno spazio crittografato perfettamente funzionante. Può contenere le proprie foto, video e file. Le chiavi di crittografia per la cassaforte decoy sono derivate dallo schema decoy — non sono correlate alle chiavi della cassaforte primaria. Non esiste alcun collegamento crittografico tra le due.

Questo è utile in scenari specifici: un iPad familiare condiviso dove l’accesso alla cassaforte di una persona è previsto, un dispositivo usato da più di una persona, o qualsiasi situazione in cui la negazione plausibile ha valore pratico.

La cassaforte decoy non è uno scudo magico. Non protegge contro l’analisi forense che esamina l’intera archiviazione dell’app. Protegge contro lo scenario sociale in cui qualcuno sa che la cassaforte esiste e vuole vedere cosa c’è dentro.

Blocco Schema: perché la griglia conta

AppVault utilizza un blocco schema 5×5 invece di un PIN numerico o una password alfanumerica. La griglia fornisce 25 nodi e lo schema li collega in sequenza. Il numero totale di schemi possibili è grande — significativamente più grande di un PIN a 4 cifre (10.000 combinazioni) e paragonabile a un PIN a 6 cifre, anche se il conteggio esatto dipende dai vincoli di nodo minimo e massimo.

Lo schema non è la chiave di crittografia. Lo schema è l’input per PBKDF2, che lo trasforma in una chiave a 256 bit. La sicurezza deriva dalla funzione di derivazione della chiave, non dallo schema stesso. Un PIN a 4 cifre elaborato tramite PBKDF2 a 600.000 iterazioni è anch’esso sicuro contro la forza bruta — il numero di iterazioni è ciò che rende costosa ogni ipotesi.

Il blocco schema è una scelta di usabilità. La maggior parte delle persone ricorda una forma geometrica in modo più affidabile di una stringa casuale. La griglia 5×5 è familiare dal vecchio schermo di blocco di Android. E la natura visiva dello schema lo rende più veloce da inserire rispetto a una password digitata su un touchscreen.

Contro cosa le app cassaforte non proteggono

L’onestà sui limiti è più utile dell’esagerazione. Ecco contro cosa un’app cassaforte come AppVault non difende:

Attacchi forensi di chip-off. Un laboratorio che dissalda il chip di memoria NAND e lo legge direttamente può estrarre il contenitore crittografato. AES-256-GCM con una chiave forte rende la decifratura irrealizzabile, ma il testo cifrato è fisicamente presente. Se la chiave è debole (uno schema semplice, basso numero di iterazioni), la crittografia può essere violata. Il PBKDF2 a 600.000 iterazioni e il wrapping dell’Enclave Sicura di AppVault aumentano sostanzialmente il costo, ma nessuna soluzione puramente software sconfigge un laboratorio forense ben finanziato.

Decifratura forzata. In alcune giurisdizioni, le autorità possono legalmente obbligarti a fornire una password o un dato biometrico. Un’app cassaforte non può proteggere contro un ordine del tribunale. La Cassaforte Decoy può fornire negazione plausibile in contesti informali, ma non è uno scudo legale.

Compromissione del codice di sblocco del dispositivo. Se qualcuno conosce il tuo codice di sblocco, può sbloccare il telefono e tentare di aprire l’app cassaforte. Lo schema della cassaforte è un fattore di autenticazione separato, ma il codice di sblocco del dispositivo è la prima linea di difesa. Un codice di sblocco forte (alfanumerico, non a 4 cifre) rimane essenziale.

Registrazione dello schermo e shoulder surfing. Un’app cassaforte non può impedire a qualcuno di guardarti mentre inserisci lo schema o di registrare lo schermo mentre navighi tra le foto crittografate. La sicurezza fisica — consapevolezza dell’ambiente circostante, filtri per la privacy dello schermo — è un livello separato.

Backup iCloud del contenitore cassaforte. Se l’utente opta per il backup iCloud, il contenitore crittografato della cassaforte viene sottoposto a backup. I file rimangono crittografati e la chiave di backup è separata dalla chiave della cassaforte. Ma il testo cifrato esiste sui server Apple. La crittografia del backup di AppVault utilizza una chiave per dispositivo che Apple non possiede, ma i metadati (backup esistente, app installata) sono visibili.

La pagina completa del modello di minaccia descrive questi scenari con maggiore precisione.

Confronto tra AppVault e la categoria

La categoria delle app cassaforte a calcolatrice sull’App Store include dozzine di app. La maggior parte condivide una premessa simile — icona camuffata, blocco con schema o PIN, archiviazione crittografata — ma la qualità dell’implementazione varia enormemente.

Keepsafe è il leader della categoria per numero di installazioni. Offre sincronizzazione cloud, un modello in abbonamento e un’interfaccia curata. La ripartizione completa delle funzionalità è sulla pagina di confronto AppVault vs Keepsafe. L’architettura cloud di Keepsafe significa che i file passano attraverso i server di Keepsafe, che è un modello di fiducia fondamentalmente diverso da un’app solo locale.

Vaultaire è il concorrente più vicino nella nicchia delle cassaforti a calcolatrice. Utilizza un camuffamento da calcolatrice e archiviazione locale. Le differenze architetturali — derivazione della chiave, modalità di crittografia, utilizzo dell’Enclave Sicura — sono dettagliate nella pagina di confronto AppVault vs Vaultaire.

La maggior parte delle altre app cassaforte a calcolatrice nel negozio non pubblica il proprio stack crittografico. Senza numeri di iterazioni pubblicati, modalità di cifratura e dettagli sulla derivazione della chiave, non c’è modo di valutare se la crittografia sia significativa o decorativa. Un’app che dichiara “crittografia di livello militare” ma esegue PBKDF2 a 1.000 iterazioni non fornisce una protezione significativa.

AppVault pubblica il suo stack completo con citazioni da fonti primarie. Il cifrario, il numero di iterazioni, la generazione del sale e il legame hardware sono documentati nella pagina crittografia. Questo è lo standard minimo per un prodotto che chiede agli utenti di fidarsi di file privati.

Scenari pratici: quale metodo usare

Ispezioni doganali e di frontiera. Un ufficiale che prende il tuo telefono e scorre tra app e foto. Il Lanciatore Calcolatrice risolve il problema: l’app sembra una calcolatrice. I file crittografati non sono nell’app Foto. L’ufficiale non ha alcuna ragione ovvia per sospettare contenuti nascosti. Questo è lo scenario in cui un’app cassaforte con icona camuffata fornisce il massimo valore rispetto agli strumenti nativi.

iPad familiare condiviso. Più persone usano lo stesso dispositivo. La Cartella bloccata fornisce protezione biometrica, ma la cartella è visibile. Un’app cassaforte con uno schema separato tiene i file fuori dall’app Foto completamente. La Cassaforte Decoy aggiunge un secondo livello se l’accesso di un familiare è previsto.

Prestare il telefono. Un amico scatta una foto di gruppo e scorre oltre. L’Album nascosto rimuove le foto dalla vista principale, ma uno scorrimento determinato può raggiungerlo. Un’app cassaforte rimuove i file dall’app Foto completamente.

Vendere o permutare un iPhone. Prima di un ripristino alle impostazioni di fabbrica, sposta i file sensibili nell’app cassaforte, quindi usa la funzione di eliminazione sicura dell’app. Dopo aver eliminato l’app ed eseguito un ripristino alle impostazioni di fabbrica, il contenitore crittografato viene distrutto. L’Album nascosto nativo e la cartella Eliminati di recente vengono cancellati dal ripristino, ma un’app cassaforte ti dà il controllo esplicito sui tempi di eliminazione.

Giornalisti, avvocati, professionisti medici. Materiale di lavoro privilegiato che non dovrebbe essere accessibile a nessuno con accesso al dispositivo. Un’app cassaforte con crittografia forte e nessuna sincronizzazione cloud mantiene i file locali e crittografati. L’architettura zero-knowledge — dettagliata nella pagina zero-knowledge — significa che lo sviluppatore dell’app non ha accesso ai contenuti o ai metadati dei file.

Come configurare AppVault per nascondere foto

Il processo di configurazione è progettato per ridurre al minimo la finestra durante la quale i file esistono sia nella libreria Foto che nella cassaforte simultaneamente.

1. Installa AppVault dall’App Store. L’app appare come una calcolatrice sulla schermata Home.
2. Imposta lo schema primario. Scegli uno schema 5×5 che ricordi. Questo schema deriva la chiave di crittografia per la tua cassaforte primaria.
3. Imposta lo schema decoy (opzionale). Questo apre un catalogo cassaforte separato con le proprie chiavi di crittografia.
4. Genera la frase di recupero. AppVault crea una frase di recupero scritta durante la configurazione. Conservala in un luogo fisicamente separato dal telefono. Se dimentichi entrambi gli schemi, questa è l’unica via d’accesso.
5. Importa le foto. Apri la cassaforte, tocca importa e seleziona le foto dalla libreria Foto. AppVault le crittografa e le archivia nel suo sandbox.
6. Elimina gli originali. Dopo aver confermato che le foto sono visibili all’interno della cassaforte, eliminale dall’app Foto. Poi apri la cartella Eliminati di recente ed eliminale anche lì.
7. Verifica. Apri l’app Foto e conferma che le immagini siano sparite da tutte le viste — scheda Foto, Album, Ricerca ed Eliminati di recente.

Le foto ora esistono solo come file crittografati all’interno del sandbox di AppVault. Non sono nel database di Foto, non nella ricerca, non in iCloud Foto e non in alcun backup a meno che tu non abbia esplicitamente optato per il backup iCloud crittografato.

Il costo di sbagliare

Il peggior risultato non è non avere alcuna protezione. È avere l’illusione della protezione.

Una persona che si affida all’Album nascosto e presume che le sue foto siano private ha fatto un’affermazione specifica e verificabile sulla propria sicurezza — e l’affermazione è falsa. L’Album nascosto