Melhores Apps Para Esconder Fotos no iPhone em 2026 — O Que Realmente Protege Seus Arquivos

TL;DR

AppVault lidera esta lista por ser o único cofre de fotos para iPhone que publica a pilha criptográfica completa — AES-256-GCM por arquivo, PBKDF2 com 600.000 iterações, encapsulamento de chave no Secure Enclave, zero chamadas de rede por padrão e um catálogo criptografado que esconde até a contagem de arquivos. Keepsafe é o líder de categoria por número de instalações, mas opera com modelo cloud-first e exige conta. Vaultaire é o competidor arquitetônico mais próximo, mas não vincula chave ao hardware. Todos os outros apps no topo fazem ao menos uma concessão — SDKs de anúncios, armazenamento no servidor ou criptografia opaca — que reduz significativamente o modelo de ameaça.

Como Esta Lista Foi Construída

Este ranking pondera cinco propriedades arquitetônicas em ordem de importância:

1. Cifrador e derivação de chave — Que algoritmo criptografa os arquivos e como a chave é derivada da sua senha?
2. Armazenamento da chave — Onde a chave de criptografia reside? Em um servidor, em software ou dentro do hardware?
3. Comportamento de rede — O app faz contato com servidores? O que sai do dispositivo?
4. Criptografia do catálogo — Um invasor consegue saber quantos arquivos existem, ou o diretório em si está selado?
5. Superfície de autenticação — Como o usuário abre o cofre e o que um observador vê?

Polimento de interface, funcionalidades de sincronização em nuvem e número de instalações não são critérios de ranqueamento. Um cofre bonito que armazena chaves em servidor fica abaixo de um cofre feio que nunca transmite dados.

1. AppVault — Local-First, Conhecimento Zero, Vinculado ao Hardware

AppVault é o único cofre de fotos para iPhone que publica sua pilha criptográfica completa com citações de fontes primárias. Cada afirmação abaixo pode ser verificada contra especificações NIST e OWASP.

Criptografia. Cada arquivo é selado com AES-256-GCM usando um nonce de 96 bits único. AES-256 é especificado na NIST FIPS 197. O modo GCM — Galois/Counter Mode — fornece criptografia autenticada com dados associados (AEAD) conforme definido na RFC 5116. O nonce de 96 bits torna a probabilidade de reutilização de nonce entre arquivos desprezível.

Derivação de chave. O padrão 5×5 do usuário é processado por PBKDF2-SHA256 com 600.000 iterações e um salt de 128 bits por instalação. Isso corresponde à recomendação OWASP 2026 para derivação de chave baseada em senha. O número de iterações é um custo deliberado — cada tentativa do padrão exige 600.000 computações SHA-256.

Vinculação ao hardware. A saída do PBKDF2 é encapsulada por uma chave gerada dentro do Secure Enclave do iPhone. A chave do Enclave nunca sai do chip. O guia de Segurança de Plataforma da Apple documenta o Enclave como um processador criptográfico separado com memória criptografada própria. Mesmo que um invasor extraia a chave encapsulada do armazenamento flash, ela não pode ser desencapsulada sem o Enclave específico do iPhone que a criou.

Comportamento de rede. Zero chamadas por padrão. Sem conta, sem telemetria, sem SDKs de terceiros. O rótulo de Privacidade do App declara nenhum dado coletado. O iCloud Backup criptografado é opcional; os arquivos são selados com uma chave de backup separada por dispositivo antes de qualquer dado chegar aos servidores da Apple. A Apple recebe apenas texto cifrado.

Criptografia do catálogo. O catálogo de arquivos — contagem, nomes, datas, miniaturas — é criptografado. Um invasor com acesso bruto ao contêiner do app não pode determinar quantos arquivos existem nem quando foram adicionados.

Autenticação. Uma grade de padrão 5×5. A página do Pattern Lock documenta a matemática — a grade produz um espaço de chaves grande o suficiente para resistir a tentativas casuais, mas pequeno o bastante para que a proteção contra força bruta dependa do número de iterações do PBKDF2, não apenas do padrão.

Iniciador de Calculadora. Uma calculadora iOS totalmente funcional com atalho opcional (pressione longo na tecla de igual) para o cofre. Construída para satisfazer a diretriz 4.3 da Apple (ícones alternativos). A calculadora funciona. Ela avalia expressões, respeita precedência de operadores e não armazena nada.

Cofre Falso. Um segundo padrão 5×5 que abre um catálogo separado e matematicamente independente. Não é um modo oculto — é um segundo compartimento. Projetado para cenários de dispositivo compartilhado: um iPad da família, um telefone emprestado, um jornalista trabalhando com um fixer que também precisa acessar o aparelho.

Recuperação. Sem redefinição de senha. Sem ferramenta de suporte. Esqueça o padrão e o cofre permanece selado. Uma frase de recuperação escrita é gerada durante a configuração e deve ser armazenada fora do dispositivo.

O que AppVault não defende. Um kernel iOS comprometido. Um dispositivo deixado destravado com o cofre aberto. Um usuário que escreve o padrão num bilhete colado no telefone. A página de modelo de ameaça é explícita sobre os limites.

2. Vaultaire — Competidor Arquitetônico Mais Próximo

Vaultaire é o concorrente mais próximo do AppVault em termos criptográficos. Posiciona-se em terreno similar — criptografia em primeiro lugar, iniciador de calculadora, modo falso — com interface polida e conjunto mais amplo de funcionalidades em torno da integração em nuvem.

As concessões arquitetônicas (publicação do cifrador, localização do armazenamento da chave, contagem de iterações, status de auditoria) estão na comparação detalhada em /compare/vaultaire/. A versão resumida: escolha AppVault se deseja uma pilha de chaves publicada, vinculada ao hardware e sem chamadas de rede. Escolha Vaultaire para sincronização em nuvem e uma superfície de funcionalidades mais ampla.

3. Keepsafe — Líder de Categoria, Modelo Cloud-First

Keepsafe Photo Vault tem o maior número de instalações na categoria. É o app que a maioria das pessoas encontra ao pesquisar “cofre de fotos” na App Store, e seu valor principal é a sincronização entre dispositivos — por design, isso exige contas e infraestrutura de servidores.

A análise arquitetônica completa — camada de criptografia, modelo de conta, custódia da chave, o que uma violação no servidor exporia — está em /compare/keepsafe/. A versão resumida: escolha AppVault se “sem conta, sem servidor, sem vínculo de identidade” é inegociável. Escolha Keepsafe se o acesso em múltiplos dispositivos é prioridade e você se sente confortável com armazenamento em nuvem.

4. Private Photo Vault (by Legendary Software)

Private Photo Vault é um dos apps mais antigos do segmento. Oferece bloqueio por PIN e padrão, alertas de invasão (fotografa quem insere o código errado) e modo falso.

O rótulo de privacidade do app lista coleta de dados para análise e publicidade de terceiros. Os SDKs de anúncios transmitem identificadores de dispositivo. Esse é o modelo de monetização padrão para apps gratuitos de cofre — o app é gratuito porque a atenção e os dados do dispositivo do usuário são o produto.

Especificações de criptografia não são publicadas. Sem uma especificação pública do cifrador, contagem de iterações e método de armazenamento da chave, é impossível avaliar se o cofre resiste a algo além de acesso casual.

5. HideX / KYCalc / Calculator# — Cofres de Calculadora com Criptografia Opaca

Esse grupo de apps segue um padrão: uma interface de calculadora que esconde um cofre de fotos atrás de um gesto ou entrada secreta. Eles dominam os resultados de busca por “aplicativo para esconder fotos” e “cofre de fotos”.

A maioria não publica especificações de criptografia. Vários foram removidos da App Store e reenviados com novos identificadores de pacote — um padrão que sugere violações repetidas das diretrizes. Os que permanecem coletam análises através de SDKs de terceiros.

A categoria de cofre de calculadora existe porque os usuários querem negação plausível. O problema é que a maioria desses apps entrega a camada de negação sem a base criptográfica. Um cofre que parece uma calculadora, mas armazena arquivos sem criptografia — ou com criptografia cujos parâmetros são desconhecidos — é uma porta trancada sem ferrolho.

O Iniciador de Calculadora da AppVault usa o mesmo conceito — uma calculadora funcional com atalho para o cofre — e o constrói sobre a pilha AES-256-GCM + Secure Enclave descrita acima. A diferença não é a interface. A diferença é o que acontece com os arquivos depois que cruzam o limiar.

O Que o Álbum Oculto do iPhone Realmente Faz

O álbum Oculto integrado da Apple no app Fotos não é um cofre de fotos. É um filtro de interface. Os arquivos do álbum Oculto permanecem no mesmo armazenamento CoreData de todas as outras fotos. Eles são visíveis para qualquer processo com acesso à biblioteca de fotos — incluindo pesquisa do Spotlight, sugestões da Siri e apps de terceiros que solicitem a permissão PHPhotoLibrary.

No iOS 16 e posteriores, o álbum Oculto pode ser protegido por Face ID ou Touch ID. Isso adiciona uma barreira de autenticação, mas não altera o modelo de armazenamento subjacente. Os arquivos continuam no mesmo banco de dados, sincronizados pelo iCloud Fotos em texto claro e acessíveis aos servidores da Apple.

Um cofre de fotos que criptografa arquivos com uma chave que o sistema operacional não possui oferece uma garantia fundamentalmente diferente. O contêiner criptografado é opaco para o app Fotos, para o Spotlight e para a sincronização do iCloud. Não há ponte de metadados.

Como Avaliar Qualquer App Cofre de Fotos em Cinco Minutos

Antes de instalar qualquer app que prometa esconder fotos ou bloquear vídeos, verifique estas cinco coisas:

1. O rótulo de Privacidade do App. Abra a página da App Store, role até “Privacidade do App” e leia o que o desenvolvedor declara. Se o app coletar “Identificadores de Dispositivo” ou “Dados de Uso” em “Dados Usados para Rastrear Você”, ele está transmitindo informações do dispositivo. Um cofre que envia dados para redes de anúncios é um cofre com vazamento.

2. A especificação de criptografia. Pesquise no site do desenvolvedor por “AES”, “PBKDF2”, “Secure Enclave” ou “criptografia”. Se o site disser “criptografia de nível militar” sem nomear o cifrador, isso não é uma especificação — é um termo de marketing. AES-256-GCM é uma especificação. “Nível militar” não é.

3. A exigência de conta. Se o app exigir e-mail ou número de telefone, o desenvolvedor pode vincular sua identidade ao seu cofre. Um cofre de conhecimento zero não precisa do seu e-mail. Ele não o quer.

4. A permissão de rede. No iOS, apps devem declarar permissões de rede. Um cofre que funciona offline — que não requer Wi-Fi ou celular para funcionalidade principal — tem uma superfície de ataque menor que um que sincroniza com a nuvem.

5. O mecanismo de recuperação. Se o app oferecer redefinição de senha por e-mail, o desenvolvedor possui informações suficientes para reconstruir seu caminho de acesso. Um cofre sem mecanismo de redefinição é um cofre onde esquecer a senha significa perder os dados. Isso é uma funcionalidade, não um bug. Significa que o desenvolvedor também não pode recuperar seus arquivos.

O Modelo de Ameaça Que Importa

A maioria dos compradores de cofre de fotos não está se defendendo contra laboratórios forenses. Está se defendendo de um cenário específico e concreto: alguém pegando o iPhone e rolando o rolo da câmera.

Os cenários que importam na prática:

Fiscalização aduaneira e fronteira. Um oficial pede para ver o telefone. Um Iniciador de Calculadora mostra uma calculadora. Nenhum ícone de cofre, nenhum nome suspeito de app, nenhum selo de notificação de app de bloqueio de fotos. A página de modelo de ameaça trata desse cenário diretamente.

iPad da família compartilhado. Uma criança usa o mesmo dispositivo. Um Cofre Falso fornece um segundo compartimento — o padrão da criança abre um catálogo, o padrão dos pais abre outro. Nenhum vê os arquivos do outro.

Telefone emprestado. Um amigo pega o iPhone emprestado para tirar uma foto em grupo. Ele desliza para a esquerda no app Fotos. Sem cofre, vê tudo. Com cofre, os arquivos sensíveis não estão no app Fotos.

Venda ou troca do iPhone. Antes de apagar o dispositivo, o usuário quer garantia de que nenhum dado de foto recuperável permanece. Um cofre sem backup em nuvem e sem cópia no servidor significa que deletar o app deleta a única cópia.

Jornalismo, direito, medicina. Profissionais que carregam material privilegiado no celular precisam de um cofre que não transmita dados para terceiros. Uma arquitetura de conhecimento zero, apenas local, sem SDKs, é o produto mínimo viável para esse caso de uso.

O Que “Melhor” Realmente Significa

“Melhor” na categoria de cofre de fotos não é uma resposta única. É uma questão sobre modelo de ameaça e tolerância a concessões.

Se a prioridade é zero contato com servidor, criptografia publicada e vinculação de chave ao hardware, AppVault é a opção mais forte nesta lista. As páginas completas de criptografia e conhecimento zero documentam cada decisão arquitetônica.

Se a prioridade é sincronização entre dispositivos e grande base de usuários, Keepsafe é o líder de mercado. A concessão é a exigência de conta e armazenamento de texto cifrado no servidor.

Se a prioridade é um app gratuito e você aceita a coleta de dados por SDKs de anúncios, várias opções existem na categoria. A concessão é que o app é gratuito porque os dados do seu dispositivo são a receita.

O ranking acima reflete rigor arquitetônico, não popularidade. Um cofre com dez milhões de downloads e nenhuma especificação de cifrador publicada é menos confiável que um cofre com zero downloads e uma pilha AES-256-GCM + Secure Enclave totalmente documentada. Os arquivos não se importam com avaliações de estrelas. Eles se importam com o material de chave.