Come determinare se i dati JPG EXIF sono stati modificati dal software "OEM" (senza strumenti di terze parti)?

4

Ho un JPG e lo sto analizzando per determinarne l'efficacia. I metadati dell'immagine indicano chiaramente che l'immagine è stata digitalizzata a 15:10:13, Dec 31, 2015 e ho bisogno di determinare se questo date digitized è stato alterato in alcun modo.

Note:

  • Ho forensically l'immagine in questione (mantenendo la catena di custodia) dal ricevitore iphone6.
  • Il mittente ha usato un iphone4.
  • Non è stato riscontrato che nessun'altra immagine ricevuta da questo (o nessun) mittente abbia una mancata corrispondenza dei dati EXIF.
  • Dalla risposta , posso vedere che sarebbe difficile dimostrare con assoluta certezza che i dati hanno o hanno non è cambiato, ma sono più interessato al come i dati potrebbero essere cambiati (in modi ragionevoli -e nessun hacker alieno).
  • Giusto per chiarire, non vi è alcuna ragionevole sospensione che il mittente venga deliberatamente modificato direttamente, che qualcun altro abbia alterato o sia stato influenzato dal malware che altera i dati EXIF.
  • Il GPS TimeStamp dice 20:10:23 UTC Dec 31, 2015 che corrisponde al timeStamp localizzato corretto.

Supponendo che il mittente:

  • non ha installato app di terze parti che possono modificare i dati EXIF.
  • Non ha intenzione / motivo di modificare i dati EXIF.
  • Non è infetto da malware che modifica i dati EXIF.
  • Sia il ricevente che il mittente hanno utilizzato l'app iMessage e il messaggio è stato inviato come iMessage.
  • Sia il destinatario che il mittente si trovano nello stesso operatore di telefonia mobile (T-Mobile) e si trovano negli Stati Uniti.
  • Il fuso orario del mittente e del destinatario è lo stesso e non si è verificato alcun viaggio nel fuso orario nel periodo di campionamento.
  • La data e l'ora sui dispositivi del mittente e del destinatario sono corrette.

Non riesco a replicare la presunta modifica. Ecco cosa ho provato:

  • Come per questo articolo, ho ho provato a inviare un controllo JPG all'interno dell'app iMessage tramite take a photo . Ciò ha avuto l'effetto di limitare i dati EXIF (non ha avuto dati del sensore o DataTime digitalizzati) ed ha eliminato del tutto i dati GPS, il che è l'opposto della presunta modifica.
  • Invio di vari JPG di controllo che includono i seguenti casi di controllo; non sono stati modificati, sono stati modificati nell'editor di immagini di Apple (ad es. appena ritagliato), scattati con la fotocamera anteriore e posteriore, inviati tramite l'opzione select photo in iMessage e inviati direttamente da Photos app.
  • Invia l'immagine in vari stati (come descritto sopra) con e senza un messaggio aggiunto all'immagine (cioè quando aggiungo la foto con qualsiasi mezzo ho aggiunto il testo "test" al messaggio prima di inviare l'immagine.

Da quanto ho provato, concludo che il date digitized è effettivamente valido, tuttavia c'è motivo di credere che non lo sia e dobbiamo determinare come potrebbe essere cambiato (all'interno dei miei parametri -e nessuna app o persona di terze parti ).

In che modo i dati EXIF possono essere modificati automaticamente, in particolare i dati "DateTime Digitalized / Original"? È probabile che possa essere modificato tramite iMessage , Apple, IOS o Iphone (s)?

Ho incluso un'istantanea dei dati EXIF (dallo strumento di inspector visivamente piacevole di Apple, l'esame forense reale mostra la stessa cosa in binario.

    
posta Matthew Peters 03.01.2016 - 21:35
fonte

2 risposte

7

Questo potrebbe essere dovuto a molte ragioni. Condividerò il più probabile:

  • L'utente ha un'app per randomizzare / modificare i dati delle proprietà dei dati / file EXIF. Esiste un'app per questo . Un programma di questo tipo viene solitamente utilizzato da coloro che sono paranoici e vogliono una sorta di plausibile negabilità, o forse sono solo annoiati e ti mettono nei guai.
  • iMessage dovrebbe consentire di inviare immagini con dati EXIF intatti, mentre il MMS standard no. Questa è una limitazione del protocollo MMS. iMessage e MMS non sono la stessa cosa. Si noti che è possibile rimuovere i dati GPS non consentendo il geotagging nelle impostazioni. Prova un'altra immagine di controllo con geotagging abilitato nel tuo iPhone. Settings > General > Location Services > On/Off .

This is an idea but there shouldn't be any EXIF data on here if the picture 'started out' as an SMS picture...

Si noti che questo è da iPhone 4. L'iPhone 6S è il telefono corrente. Le cose sono cambiate . Il tuo link è di circa 4 anni fa. Gli aggiornamenti possono aggiungere o rimuovere funzionalità, anche su dispositivi meno recenti come iPhone 4s, la macchina di destinazione.

Dato che stiamo parlando di medicina legale, potresti lavorare nelle forze dell'ordine. Se questo è il caso, dovresti provare a procurarti un iPhone 4 aggiornato. Scatta una foto di qualsiasi cosa e usa iMessage per inviarlo a un altro dei tuoi dispositivi. Verificare che i dati EXIF siano o intatti o mancanti. Da lì, dovresti essere indirizzato nella giusta direzione.

Se hai già sequestrato l'iPhone in questione e hai trovato i dati EXIF sull'iPhone, è possibile che non sia stato trasmesso via SMS. Se hai ricevuto i dati EXIF da un telefono che ha ricevuto l'SMS, allora saprai che può essere trasmesso.

L'articolo che ho collegato sembra suggerire che i dati EXIF siano ora inclusi per impostazione predefinita. Anche molti altri articoli indicizzati da Google suggeriscono lo stesso.

    
risposta data 03.01.2016 - 23:11
fonte
3

Qualsiasi app che disponga delle autorizzazioni per visualizzare e modificare le foto o accedere al file system in cui sono memorizzate le foto potrebbe modificare questi dati. Dati EXIF, modifica / accesso / orari creati , ecc. Non sono immutabili.

Sarà sempre speculativo come potrebbe essere modificato o se un'app di terze parti (ad esempio un'altra app fotografica oltre l'app stock) aggiungesse dati EXIF quando non era previsto che venisse aggiunto. Come @Mark Buffalo ha notato in questa risposta, ci sono così tanti posti lungo la linea o fattori che potrebbero influenzare la presenza o le modifiche ai metadati. A meno che tu non abbia a che fare con informazioni firmate e con data e ora, non hai alcuna ragionevole garanzia sulla provenienza dei dati.

    
risposta data 04.01.2016 - 02:58
fonte

Leggi altre domande sui tag