Como esconder fotos no iPhone — todos os métodos, avaliados honestamente

TL;DR

O Álbum Oculto nativo do iPhone remove fotos da visualização principal da biblioteca, mas as deixa visíveis em um álbum "Oculto" que qualquer pessoa pode abrir. A Pasta Bloqueada do iOS 16+ adiciona proteção por Face ID, mas ainda mostra que a pasta existe. Aplicativos de cofre dedicados, como o AppVault, criptografam arquivos com AES-256-GCM, derivam chaves via PBKDF2 com 600.000 iterações e podem disfarçar o próprio app como uma calculadora — nada disso as ferramentas nativas oferecem. O método certo depende de contra quem você está se protegendo.

O Álbum Oculto Nativo: O Que Ele Realmente Faz

A Apple adicionou o Álbum Oculto ao iOS como um recurso de conveniência. Ele remove fotos e vídeos selecionados da visualização principal da biblioteca — a aba Fotos, a aba Para Você e Memórias. Os arquivos são realocados para um álbum dedicado em Álbuns → Utilitários → Oculto.

Esse é o mecanismo inteiro. Nenhuma senha. Nenhuma barreira biométrica. Nenhuma mudança na criptografia. Os arquivos ficam no mesmo contêiner não criptografado de todas as outras fotos do dispositivo, indexados pelo mesmo banco de dados, visíveis para qualquer um que navegue até a tela certa.

A Apple adicionou uma opção no iOS 14 que permite ocultar a listagem do Álbum Oculto. Vá em Ajustes → Fotos e desative “Álbum Oculto”. O álbum desaparece da seção Utilitários. Mas as fotos continuam indexadas. Continuam aparecendo nos resultados de busca. Continuam surgindo em sugestões da Siri. A opção é uma mudança de interface, não um controle de segurança.

Quando o Álbum Oculto é suficiente: Você quer evitar que mãos curiosas — um amigo folheando seu rolo da câmera, uma criança tocando na tela — tropecem em imagens específicas. O Álbum Oculto remove fotos do fluxo de navegação padrão. Para esse propósito restrito, funciona.

Quando não é suficiente: Qualquer pessoa que abra o app Fotos com intenção encontra o Álbum Oculto em menos de cinco segundos. Não exige nenhuma etapa de autenticação. Se seu modelo de ameaça inclui uma pessoa que sabe o que está procurando, o Álbum Oculto não é uma barreira.

A Pasta Bloqueada (iOS 16 e Posteriores)

O iOS 16 introduziu a Pasta Bloqueada, que adiciona proteção por Face ID ou Touch ID às fotos ocultas. Quando você move fotos para a Pasta Bloqueada, o app Fotos exige autenticação biométrica antes de exibi-las.

Isso é um avanço significativo em relação ao Álbum Oculto. Uma pessoa folheando seu telefone não consegue abrir a Pasta Bloqueada sem seu rosto ou impressão digital. Os arquivos também são excluídos da sincronização do iCloud Fotos — ficam apenas no dispositivo.

Mas a Pasta Bloqueada tem seus próprios limites. A pasta em si fica visível no app Fotos. Um visualizador pode ver que uma Pasta Bloqueada existe e inferir que contém conteúdo que você escolheu proteger. A pasta mostra um ícone de cadeado e um rótulo. Ela anuncia sua própria existência.

A Pasta Bloqueada também não criptografa arquivos separadamente do resto do sistema de proteção de dados do iOS. Quando o dispositivo está bloqueado, todos os arquivos são protegidos pela criptografia de hardware vinculada ao seu código. Quando o dispositivo está desbloqueado, a Pasta Bloqueada adiciona uma barreira biométrica — mas o armazenamento subjacente é o mesmo volume APFS criptografado que protege todo o resto no telefone.

Quando a Pasta Bloqueada é suficiente: Você quer proteção biométrica contra alguém que tem seu telefone desbloqueado em mãos. Um colega, um familiar, um amigo — alguém que pode interagir fisicamente com o dispositivo mas não consegue autenticar como você.

Quando não é suficiente: A Pasta Bloqueada não esconde o fato de que conteúdo oculto existe. Não protege contra alguém que tem o código do dispositivo (já que o código pode substituir o Face ID). Não criptografa arquivos com uma chave separada. E não ajuda se você precisa que o próprio app de cofre seja invisível.

Onde as Ferramentas Nativas Falham

O problema central com ambas as opções nativas da Apple é arquitetural. O app Fotos é um aplicativo único com um único armazenamento de dados. Ocultar uma foto significa alterar uma flag em uma linha do banco de dados. O arquivo permanece no mesmo diretório, no mesmo armazenamento flash, referenciado pelo mesmo índice.

Isso tem consequências concretas:

Busca e Siri. Mesmo com a opção de ocultar o Álbum Oculto desativada, as fotos podem aparecer na Busca Spotlight, nas sugestões da Siri e na barra de busca dentro de Fotos. O pipeline de indexação da Apple não respeita totalmente a flag de oculto.

Álbuns compartilhados e AirDrop. Fotos ocultas ainda podem ser selecionadas para AirDrop ou álbuns compartilhados se o usuário navegar até elas por meio da busca ou de um link compartilhado. O mecanismo de ocultação é um filtro de exibição, não um controle de acesso.

Backups. Fotos ocultas e da Pasta Bloqueada são incluídas nos backups do iCloud e do iTunes/Finder. Se alguém obtiver acesso à sua conta iCloud ou a um arquivo de backup local, as fotos ocultas estarão lá.

Apagados Recentemente. Quando você apaga uma foto — oculta ou não — ela vai para a pasta “Apagados Recentemente” e fica recuperável por 30 dias. O Álbum Oculto não muda esse comportamento.

Acesso forense. Ferramentas usadas em perícia forense de dispositivos leem o armazenamento flash diretamente ou extraem o banco de dados de Fotos. Uma flag booleana em uma coluna SQLite não para um examinador forense.

Para os modelos de ameaça que importam — fiscalização alfandegária e de fronteira, iPads familiares compartilhados, emprestar o telefone para alguém, vender ou trocar um dispositivo — as ferramentas nativas deixam lacunas que um aplicativo de cofre dedicado foi projetado para fechar.

Como Funcionam os Aplicativos de Cofre Dedicados

Um app de cofre adota uma abordagem fundamentalmente diferente. Em vez de alternar uma flag de visibilidade dentro do app Fotos, ele remove os arquivos da biblioteca de Fotos completamente e os armazena em um contêiner criptografado que o app controla.

O fluxo de trabalho típico:

1. Importar. O usuário seleciona fotos ou vídeos da biblioteca de Fotos. O app de cofre os copia para seu armazenamento em sandbox.
2. Criptografar. Cada arquivo é criptografado com uma chave simétrica derivada da senha ou padrão do usuário. No caso do AppVault, a cifra é AES-256-GCM com um nonce único de 96 bits por arquivo, e a chave é derivada via PBKDF2-SHA256 com 600.000 iterações e um salt de 128 bits por instalação.
3. Apagar originais. O app apaga os arquivos originais da biblioteca de Fotos, inclusive da pasta “Apagados Recentemente”, para que nenhum vestígio permaneça no banco de dados nativo de fotos.
4. Armazenar. Os arquivos criptografados vivem dentro da sandbox do app. A sandbox do iOS impede que outros apps leiam os dados. A criptografia impede que qualquer pessoa que extraia o conteúdo da sandbox leia os arquivos sem a chave.

O resultado: as fotos não existem mais no app Fotos, nem na busca, nem nas sugestões da Siri, nem em álbuns compartilhados, nem no rolo da câmera. Elas existem apenas como texto cifrado dentro do contêiner do app de cofre.

O Que a Criptografia Significa Aqui

A pilha de criptografia do AppVault é publicada na íntegra na página de criptografia. A versão resumida:

• AES-256-GCM (modo Galois/Counter) fornece criptografia autenticada. Cada arquivo recebe um nonce único de 96 bits, então duas fotos idênticas produzem textos cifrados completamente diferentes. O algoritmo é especificado no NIST FIPS 197 e no NIST SP 800-38D.
• PBKDF2-SHA256 com 600.000 iterações converte o padrão do usuário em uma chave criptográfica. A contagem de iterações segue a recomendação OWASP 2026 para derivação de chave baseada em senha. Um salt aleatório de 128 bits, gerado uma vez na instalação, garante que dois dispositivos com o mesmo padrão produzam chaves diferentes.
• Embrulho do Secure Enclave. A saída do PBKDF2 é embrulhada por uma chave gerada dentro do Secure Enclave do iPhone. A chave do Enclave nunca sai do chip. Em dispositivos com Secure Enclave (iPhone 5s e posteriores), isso significa que o material da chave está vinculado ao hardware e não pode ser extraído apenas por software.

Isso não é linguagem de marketing. Cada uma dessas escolhas tem uma propriedade de segurança específica. A alta contagem de iterações torna ataques de força bruta no padrão computacionalmente caros. O nonce por arquivo impede análise de padrões entre textos cifrados. A vinculação ao Secure Enclave significa que, mesmo que alguém copie o contêiner criptografado para outro dispositivo, os arquivos não podem ser descriptografados sem o hardware original.

O Lançador de Calculadora: Escondendo Quem Esconde

A criptografia protege os arquivos. Mas se o próprio app de cofre estiver visível na tela inicial, um visualizador sabe que conteúdo oculto existe. O ícone do app é um sinal.

O Lançador de Calculadora do AppVault resolve isso fornecendo uma calculadora iOS totalmente funcional como interface principal do app. O usuário abre o app, vê uma calculadora padrão e pode fazer cálculos normalmente. Uma pressão longa na tecla de igual abre o cofre criptografado.

Isso não é uma calculadora falsa. É uma calculadora real que também tem um cofre atrás de um gesto específico. O design é construído para atender à diretriz 4.3 da Apple (ícones alternativos) ao fornecer funcionalidade genuína de calculadora.

O Lançador de Calculadora muda o modelo de ameaça. Uma pessoa que pega seu telefone e vê um app de calculadora na tela inicial não tem motivo para suspeitar que ele contém fotos criptografadas. Um fiscal alfandegário percorrendo os apps vê uma calculadora. Um amigo que pega seu telefone emprestado vê uma calculadora.

Isso não é invisibilidade. Uma análise forense do identificador do pacote e das permissões do app revelaria sua verdadeira natureza. Mas para os cenários práticos que a maioria das pessoas enfrenta — uma pessoa com acesso físico e intenção casual — o Lançador de Calculadora eleva a barreira de “abra o app de cofre óbvio” para “descubra que a calculadora não é uma calculadora”.

O Cofre Isca: Dois Álbuns, Um Dispositivo

Algumas situações exigem mais do que um app oculto. Se alguém sabe que você usa um app de cofre e exige acesso, uma única senha cria um problema: recusa implica culpa, e cumprir derrota o propósito.

O Cofre Isca do AppVault fornece um segundo padrão 5×5 que abre um catálogo de cofre separado e matematicamente independente. O cofre isca é um espaço criptografado totalmente funcional. Pode conter suas próprias fotos, vídeos e arquivos. As chaves de criptografia do cofre isca são derivadas do padrão isca — não têm relação com as chaves do cofre principal. Não há ligação criptográfica entre os dois.

Isso é útil em cenários específicos: um iPad familiar compartilhado onde o acesso ao cofre de uma pessoa é esperado, um dispositivo usado por mais de uma pessoa, ou qualquer situação em que a negativa plausível tenha valor prático.

O cofre isca não é um escudo mágico. Não protege contra análise forense que examina todo o armazenamento do app. Protege contra o cenário social em que alguém sabe que o cofre existe e quer ver o que há dentro.

Bloqueio por Padrão: Por Que a Grade Importa

O AppVault usa um bloqueio por padrão 5×5 em vez de um PIN numérico ou senha alfanumérica. A grade fornece 25 nós, e o padrão os conecta em sequência. O número total de padrões possíveis é grande — significativamente maior que um PIN de 4 dígitos (10.000 combinações) e comparável a um PIN de 6 dígitos, embora a contagem exata dependa das restrições de mínimo e máximo de nós.

O padrão não é a chave de criptografia. O padrão é a entrada para o PBKDF2, que o estica em uma chave de 256 bits. A segurança vem da função de derivação de chave, não do padrão em si. Um PIN de 4 dígitos processado pelo PBKDF2 com 600.000 iterações também é seguro contra força bruta — a contagem de iterações é o que torna cada tentativa cara.

O bloqueio por padrão é uma escolha de usabilidade. A maioria das pessoas consegue lembrar uma forma geométrica de forma mais confiável do que uma string aleatória. A grade 5×5 é familiar da tela de bloqueio legada do Android. E a natureza visual do padrão torna sua digitação mais rápida do que uma senha digitada em uma tela sensível ao toque.

Contra o Que os Apps de Cofre Não Protegem

Honestidade sobre limites é mais útil que exagero. Aqui está contra o que um app de cofre como o AppVault não defende:

Ataques forenses de chip-off. Um laboratório que dessolda o chip NAND flash e o lê diretamente pode extrair o contêiner criptografado. AES-256-GCM com uma chave forte torna a descriptografia inviável, mas o texto cifrado está fisicamente presente. Se a chave for fraca (um padrão simples, baixa contagem de iterações), a criptografia pode ser quebrada. O PBKDF2 com 600.000 iterações e o embrulho do Secure Enclave do AppVault elevam substancialmente o custo, mas nenhuma solução apenas de software derrota um laboratório forense bem financiado.

Descriptografia compelida. Em algumas jurisdições, as autoridades podem legalmente compelir você a fornecer uma senha ou biometria. Um app de cofre não pode proteger contra uma ordem judicial. O Cofre Isca pode fornecer negativa plausível em situações informais, mas não é um escudo legal.

Comprometimento do código do dispositivo. Se alguém souber o código do seu dispositivo, pode desbloquear o telefone e tentar abrir o app de cofre. O padrão do cofre é um fator de autenticação separado, mas o código do dispositivo é a primeira linha de defesa. Um código de dispositivo forte (alfanumérico, não de 4 dígitos) continua essencial.

Gravação de tela e olhar por cima do ombro. Um app de cofre não pode impedir que alguém observe você digitando seu padrão ou grave a tela enquanto você navega por fotos criptografadas. Segurança física — consciência do ambiente, filtros de privacidade de tela — é uma camada separada.

Backup do iCloud do contêiner do cofre. Se o usuário optar pelo Backup do iCloud, o contêiner criptografado do cofre é copiado. Os arquivos permanecem criptografados, e a chave do backup é separada da chave do cofre. Mas o texto cifrado existe nos servidores da Apple. A criptografia de backup do AppVault usa uma chave por dispositivo que a Apple não detém, mas os metadados (backup existe, app instalado) são visíveis.

A página completa de modelo de ameaça detalha esses cenários com mais precisão.

Comparando o AppVault à Categoria

A categoria de cofre calculadora na App Store inclui dezenas de apps. A maioria compartilha uma premissa semelhante — ícone disfarçado, bloqueio por padrão ou PIN, armazenamento criptografado — mas a qualidade da implementação varia enormemente.

Keepsafe é o líder da categoria em número de instalações. Oferece sincronização em nuvem, modelo de assinatura e uma interface polida. A análise completa recurso por recurso está na página de comparação AppVault vs Keepsafe. A arquitetura em nuvem do Keepsafe significa que os arquivos passam pelos servidores do Keepsafe, o que é um modelo de confiança fundamentalmente diferente de um app local.

Vaultaire é o concorrente mais próximo no nicho de cofre calculadora. Usa disfarce de calculadora e armazenamento local. As diferenças arquiteturais — derivação de chave, modo de criptografia, uso do Secure Enclave — estão detalhadas na página de comparação AppVault vs Vaultaire.

A maioria dos outros apps de cofre calculadora na loja não publica sua pilha de criptografia. Sem contagens de iterações publicadas, modos de cifra e detalhes de derivação de chave, não há como avaliar se a criptografia é significativa ou decorativa. Um app que alega “criptografia de nível militar” mas roda PBKDF2 com 1.000 iterações não está fornecendo proteção significativa.

O AppVault publica sua pilha completa com citações de fontes primárias. A cifra, contagem de iterações, geração de salt e vinculação de hardware estão documentadas na página de criptografia. Este é o padrão mínimo para um produto que pede aos usuários que confiem nele com arquivos privados.

Cenários Práticos: Qual Método Usar

Fiscalização alfandegária e de fronteira. Um agente que pega seu telefone e percorre apps e fotos. O Lançador de Calculadora resolve isso: o app parece uma calculadora. Os arquivos criptografados não estão no app Fotos. O agente não tem motivo óbvio para suspeitar de conteúdo oculto. Este é o cenário em que um app de cofre com ícone disfarçado oferece mais valor sobre as ferramentas nativas.

iPad familiar compartilhado. Várias pessoas usam o mesmo dispositivo. A Pasta Bloqueada fornece proteção biométrica, mas a pasta fica visível. Um app de cofre com um padrão separado mantém os arquivos fora do app Fotos completamente. O Cofre Isca adiciona uma segunda camada se o acesso de um membro da família for esperado.

Emprestar o telefone. Um amigo tira uma foto em grupo e passa o dedo adiante. O Álbum Oculto remove fotos da visualização principal, mas um deslize determinado pode alcançá-lo. Um app de cofre remove os arquivos do app Fotos completamente.

Vender ou trocar um iPhone. Antes de uma restauração de fábrica, mova arquivos sensíveis para o app de cofre e use a função de exclusão segura do app. Depois de apagar o app e fazer a restauração de fábrica, o contêiner criptografado é destruído. O Álbum Oculto nativo e a pasta “Apagados Recentemente” são limpos pela restauração de fábrica, mas um app de cofre dá a você controle explícito sobre o momento da exclusão.

Jornalistas, advogados, profissionais de saúde. Material de trabalho privilegiado que não deve ser acessível a qualquer pessoa com acesso ao dispositivo. Um app de cofre com criptografia forte e sem sincronização em nuvem mantém os arquivos locais e criptografados. A arquitetura de conhecimento zero — detalhada na página de conhecimento zero — significa que o desenvolvedor do app não tem acesso ao conteúdo dos arquivos nem aos metadados.

Como Configurar o AppVault para Esconder Fotos

O processo de configuração é projetado para minimizar a janela durante a qual os arquivos existem tanto na biblioteca de Fotos quanto no cofre simultaneamente.

1. Instale o AppVault na App Store. O app aparece como uma calculadora na tela inicial.
2. Defina o padrão principal. Escolha um padrão 5×5 que você consiga lembrar. Esse padrão deriva a chave de criptografia para seu cofre principal.
3. Defina o padrão isca (opcional). Isso abre um catálogo de cofre separado com suas próprias chaves de criptografia.
4. Gere a frase de recuperação. O AppVault cria uma frase de recuperação escrita durante a configuração. Armazene-a em um local fisicamente separado do telefone. Se você esquecer ambos os padrões, esta é a única maneira de voltar.
5. Importe fotos. Abra o cofre, toque em importar e selecione fotos da biblioteca de Fotos. O AppVault as criptografa e as armazena em sua sandbox.
6. Apague os originais. Depois de confirmar que as fotos estão visíveis dentro do cofre, apague-as do app Fotos. Em seguida, abra a pasta “Apagados Recentemente” e apague-as também.
7. Verifique. Abra o app Fotos e confirme que as imagens sumiram de todas as visualizações — aba Fotos, Álbuns, Busca e Apagados Recentemente.

As fotos agora existem apenas como arquivos criptografados dentro da sandbox do AppVault. Não estão no banco de dados de Fotos, nem na busca, nem no iCloud Fotos, nem em nenhum backup a menos que você tenha explicitamente optado pelo Backup criptografado do iCloud.

O Custo de Errar

O pior resultado não é não ter proteção. É ter a ilusão de proteção.

Uma pessoa que confia no Álbum Oculto e assume que suas fotos estão privadas fez uma afirmação específica e testável sobre sua segurança — e a afirmação é falsa. O Álbum Oculto é uma preferência de exibição, não um controle de acesso. Qualquer pessoa com acesso ao dispositivo desbloqueado pode encontrar as fotos ocultas em segundos.

Uma pessoa que baixa um app de cofre gratuito com SDKs de anúncios e assume que suas fotos estão criptografadas fez uma afirmação diferente — que também pode ser falsa. Sem detalhes de criptografia publicados, não há como verificar se o app criptografa algo. Alguns apps de cofre gratuitos já foram flagrados armazenando arqu