web-dev-qa-db-ja.com

「OEM」ソフトウェア(サードパーティツールなし)によってJPG EXIFデータが変更されたかどうかを確認する方法

私にはJPGがあり、その有効性を判断するために分析しています。画像のメタデータは、画像が15:10:13, Dec 31, 2015でデジタル化されたことを明確に示しており、このdate digitizedが何らかの方法で変更されているかどうかを確認する必要があります。

ノート:

  • 受信者のiphone6から問題の画像(管理の連鎖を維持)を法医学的に持っています。
  • 送信者はiphone4sを使用しました。
  • この(または任意の)送信者から受信した他の画像には、EXIFデータの不一致があることが見つかりませんでした。
  • this の回答から、データが変更されたか、変更されなかったかを確実に証明することは困難であることがわかりますが、どのようにデータが変更された可能性があります(合理的な方法で、つまりエイリアンハッカーがいない)。
  • 明確にするために、送信者が故意に直接変更した、他の誰かが変更した、またはEXIFデータを変更するマルウェアの影響を受けたという合理的な停止はありません。
  • GPS TimeStampは、正しいローカライズされたタイムスタンプに対応する20:10:23 UTC Dec 31, 2015を示しています。

送信者を想定:

  • EXIFデータを変更できるサードパーティのアプリがインストールされていないない
  • EXIFデータを編集する意図/動機はありません。
  • EXIFデータを編集するマルウェアに感染していません。
  • 受信者と送信者の両方がiMessageアプリを使用し、メッセージはiMessageとして送信されました。
  • 受信者と送信者の両方が同じ携帯電話会社(T-Mobile)にいて、米国にいます。
  • 送信側と受信側のタイムゾーンは同じで、サンプル期間中にタイムゾーンの移動は発生していません。
  • 送信者と受信者のデバイスの日付と時刻が正しい。

申し立てられた変更を複製することはできません。これが私が試したものです:

  • this の記事に従って、take a photoを介してiMessageアプリ内でコントロールJPGを送信してみました。これは、EXIFデータを制限する効果があり(センサーデータまたはDateTime Digitizedがありませんでした)、申し立てられた変更の反対であるGPSデータを完全に排除しました。
  • 以下のコントロールケースを含むさまざまなコントロールJPGを送信します。まったく変更されていない、Apple独自の画像エディターで編集された(例:切り取られたばかり)、フロントとリアのカメラで撮影された、iMessageselect photoオプションを介して送信された、およびPhotosアプリから直接送信された。
  • IMessageにメッセージを追加した場合としない場合(上記のように)にさまざまな状態で画像を送信しました(つまり、何らかの方法で写真を追加する場合は、iMessageを送信する前にメッセージに「テスト」テキストを追加しました。

私が試した結果から、date digitizedは確かに有効であると結論付けましたが、そうではないと信じる理由があり、それがどのように変更されたのかを判断する必要があります(つまり、私のパラメーター内で、つまりサードパーティのアプリやユーザーがいない)。 。

EXIFデータ、特に「DateTime Digitized/Original」データを自動的に変更するにはどうすればよいですか? iMessage、Apple、IOS、またはIphoneを介して変更できる可能性はありますか?

私はEXIFデータのスナップショットを含めました(Appleのより視覚的に楽しいinspectorツールから、実際のフォレンジック検査はバイナリで同じことを示しています。

exif

forensicssteganography
5
Matthew Peters

これには多くの理由が考えられます。私は最も可能性を共有します:

  • ユーザーは、EXIFデータ/ファイルプロパティデータをランダム化/変更するアプリを持っています。 そのためのアプリがあります 。このようなプログラムは、通常、偏執的であり、ある種のもっともらしい否認性を望んでいる人や、退屈で面倒な人に使用されます。
  • iMessageでは、EXIFデータをそのままにして画像を送信できますが、標準のMMSでは送信できません。これはMMSプロトコルの制限です。 iMessageとMMSは同じではありません。設定でジオタグを許可しないことにより、GPSデータを削除できます。 iPhoneでジオタグが有効になっている別のコントロール画像を試してください。 Settings > General > Location Services > On/Off

これはアイデアですが、画像がSMS画像として「始まった」場合は、ここにEXIFデータはありません...

これはiPhone 4からのものであることに注意してください。iPhone6Sが現在の電話です。 物事が変更されました 。リンクは4年近く前のものです。アップデートにより、ターゲットマシンであるiPhone 4sなどの古いデバイスでも機能を追加または削除できます。

私たちは法医学について話しているので、あなたは法執行機関で働いているかもしれません。その場合は、アップデートされたiPhone 4sを入手してください。何でも写真を撮り、iMessageを使用して別のデバイスに送信します。 EXIFデータが損なわれていないか欠落していることを確認してください。そこから、あなたは正しい方向に向けられるべきです。

問題のiPhoneを既に押収していて、iPhoneでEXIFデータを見つけた場合は、SMS経由で送信されなかった可能性があります。 SMSを受信した電話からEXIFデータを取得した場合は、そのデータが送信できることがわかります。

リンクした記事は、EXIFデータがデフォルトで含まれるようになったことを示唆しているようです。 Googleによって索引付けされた他の多くの記事も同じことを示唆しています。

7
Mark Buffalo

写真を表示および編集する権限がある または写真が保存されているファイルシステムにアクセスするアプリは、このデータを変更する可能性があります。 EXIFデータ、 変更/アクセス/作成時刻 などは不変ではありません。

それがどのように変更されるか、またはサードパーティアプリ(たとえば、ストックアプリ以外の別の写真アプリ)がEXIFデータを追加することが予期されていなかったときに追加した場合、それは常に推測です。この回答で@Mark Buffaloが述べたように、メタデータの存在や変更に影響を与える可能性のある線や要因には、非常に多くの場所があります。 signed およびタイムスタンプ付きの情報を扱っていない限り、データの出所に関して妥当な保証はありません。

2
Eric G