Posso descobrir se duas fotos foram tiradas exatamente pelo mesmo dispositivo?

9

Então, digamos que eu tenho dois iPhones idênticos, ambos do mesmo modelo e executando o mesmo iOS. Depois, procuro alguém que tire uma foto aleatória de um dos telefones sem me dizer de onde veio. A foto foi tirada por aquele telefone em algum momento há pelo menos alguns dias atrás. A foto é removida completamente do dispositivo de origem, sem deixar rastro. Dado que tenho acesso aos dois dispositivos e, portanto, podemos tirar um número infinito de fotos em cada um para comparar, existe uma maneira, como lendo os metadados, de saber em qual dos telefones a nova foto veio, pois tem uma foto de cada um?

Edit: vamos assumir que ninguém está tentando falsificar deliberadamente os metadados. Os metadados são os mesmos de quando a foto foi tirada. Vamos supor também que, no momento em que a foto foi tirada, ambos os dispositivos se aproximaram MUITO.

Além disso, esse cenário que descrevi acima não é hipotético. Na verdade, estou tentando fazer isso e tenho dois iPhone SEs para trabalhar. Mas examinei os metadados brutos e estou tendo problemas para encontrar campos que correspondam a duas fotos que eu sei que vieram da mesma fonte que também não correspondem a uma foto de uma fonte diferente.

Editar novamente: eu determinei que (pelo menos a maioria) dos dispositivos Apple não armazenam um número de série ou qualquer outro tipo de distintivo definitivo para dizer absolutamente que duas fotos vieram do mesmo dispositivo exato. No entanto, ouvi pessoas falando sobre como, devido às diferenças muito pequenas em cada chip, pode ser determinado a partir da foto real que duas fotos foram tiradas pelo mesmo dispositivo. Alguém sabe mais sobre isso?

metadata forensics O Elemental da Criação
fonte
2
Você está interessado em cenários em que alguém está tentando deliberadamente falsificar o resultado ou apenas em imagens "originais" dos dispositivos?
Philip Kendall
Se você pudesse fornecer amostras das duas imagens, isso nos ajudaria. Alguns usam ferramentas EXIF ​​e alguns de nós são programadores que podem fazê-lo em código.
MikeD
Três fotos marcadas pelo dispositivo. Dispositivo ? Significa que ele veio de um dos dois, mas eu hipoteticamente não sei qual. Nesse caso, eu sei com qual eu a tirei, mas isso é porque eu acabei de tirar essas fotos. drive.google.com/drive/folders/…
O Elemental da Criação

Respostas:

2

Como outros já declararam, não maneira definitiva de provar que uma imagem veio de um dispositivo específico.  Todas as evidências devem ser reunidas, consideradas e correlacionadas para chegar a uma resposta provável . Isso inclui metadados, informações de tempo, coordenadas GPS, características da lente e do sensor e configurações de compactação.

A capacidade de adivinhar razoáveis depende das imagens e dispositivos específicos envolvidos.  É útil fazer o exercício com as imagens fornecidas para demonstrar o processo. Para simplificar a discussão, vou me referir às imagens A, B e U, cada uma tirada com o dispositivo correspondente.

  • Os dispositivos não são idênticos.  O dispositivo A possui o iOS 9.3.5 instalado. O dispositivo B tem o iOS 10.1.1 instalado. O dispositivo U também possui o iOS 9.3.5 instalado.

  • Supondo que você tenha carregado as imagens logo após tirá-las, as imagens A e U foram tiradas com dispositivos com um tempo de atividade de cerca de 27 horas. A imagem B foi tirada com um dispositivo com um tempo de atividade de cerca de 107 horas. Com base no tempo de atividade, acho que a imagem U foi tirada cerca de 16 segundos após a imagem A.

  • Com base nos carimbos de data e hora, a Imagem U foi tirada cerca de 17 segundos depois da Imagem A. A Imagem B foi tirada 19 dias antes de qualquer uma delas. Obviamente, isso não faz sentido por si só, e os carimbos de hora geralmente estão incorretos. No entanto, combinadas com as informações de tempo de atividade, a Imagem U e a Imagem A se correlacionam estreitamente.

  • Examinei o DQT de cada imagem. O DQT determina a "qualidade" da compactação JPEG. Curiosamente, era idêntico para as imagens A e B, mas diferente para a imagem U. Não é útil.

  • Se eu possuísse os dispositivos, poderia tentar tirar várias imagens de campo plano claro e escuro em várias configurações. Talvez o alinhamento das lentes, os padrões de luz (vinhetas), os pontos de acesso, os padrões de "ruído" ou as manchas de poeira possam denunciar um dos dispositivos. Infelizmente, para muitas imagens, é improvável que isso seja útil porque o assunto muitas vezes oculta esses recursos.

  • Se eu tivesse um grande número de imagens para correlacionar umas com as outras, poderia tentar mapeá-las com base nos dados do GPS. As imagens agrupadas têm maior probabilidade de se relacionarem. É improvável que imagens tiradas distantes ao mesmo tempo tenham sido tiradas com o mesmo dispositivo.

  • Também examinaria o conteúdo da imagem, como pessoas ou pontos de referência. Isso ajudaria a agrupar imagens, além de corroborar os dados do GPS.

Agora, levando em consideração o que aprendi, tenho que decidir o quanto estou confiante em minha conclusão. Dado que o cenário apresentado envolve nenhum truque, estou bastante confiante Dispositivo U = Dispositivo A .

Novamente, nenhuma das opções acima é definitiva e não posso descartar um terceiro Dispositivo C , nem mesmo esse Dispositivo A = Dispositivo B. Embora o último seja improvável, porque isso significaria que o iOS havia sido rebaixado.

xiota
fonte
O objetivo não era REALMENTE fazê-lo nas fotos de teste. O objetivo era determinar com base em uma nova foto tirada aleatoriamente em um dispositivo que pode ter sido reiniciado. Basicamente, qualquer metadado que envolva tempo seria completamente irrelevante nessa situação. Também a localização do GPS seria irrelevante. E embora o iOS possa determinar que um único dispositivo não tirou a foto, o objetivo era poder dizer definitivamente que um dispositivo específico fez isso. Você começou a mencionar técnicas para determinar o dispositivo específico para as conexões de fotos, mas agora como se resolveria isso.
O Elemental da Criação
Como afirmo, nada disso é definitivo. Toda essa informação deve ser coletada e correlacionada para determinar a confiança em uma conclusão. Nesse caso, 3/6 dos pontos que examinei coincidiram. Dois são impossíveis de executar, e um foi inconclusivo. Realizando o exercício, demonstro concretamente as etapas que você precisaria executar e, nesse caso, existe uma correlação razoável entre A e U. Caso contrário, eu estaria apenas acenando com a mão e dizendo que não é possível, como todo mundo outro.
Xiota
Além disso, a localização do GPS pode ser simplesmente desativada, o que é um método não confiável. Pelo que sei, tudo o que tem a ver com metadados não será capaz de provar definitivamente algo devido ao fato de que os metadados podem ser removidos (removidos, não substituídos por informações falsas) e que os metadados podem simplesmente estar errados. Como o iPhone não aplica nenhum tipo de identificador exclusivo às fotos, os metadados estão fora de questão. A análise da própria imagem parece ser a única maneira. Seria muito apreciado se você pudesse elaborar mais sobre isso.
O Elemental da Criação
Você pega todos os dados que puder e os correlaciona . Você não pode pendurar seu chapéu em uma única informação potencialmente falsa. Se os metadados estiverem disponíveis, eles deverão ser usados. Por exemplo, se agrupar as fotos em um mapa mostra que as imagens foram tiradas a centenas de quilômetros de distância ao mesmo tempo, é improvável que elas tenham sido tiradas com o mesmo dispositivo, embora essas informações possam ser falsificadas. Mas isso vai contra as suposições da questão.
Xiota
11
Quanto a tirar fotos de campo plano, não tenho certeza do que dizer sobre isso, exceto que você tira um monte de fotos de campos claros e escuros com iluminação difusa em diferentes configurações. Você pode encontrar vinhetas nas lentes, poeira, pontos quentes ou padrões de "ruído" do sensor. Então você procura os mesmos recursos nas fotos. No entanto, também não é definitivo porque os sujeitos fotográficos tendem a obcecá-los. Além disso, a correção da lente funciona porque a maioria das diferenças entre os mesmos modelos de sensores e lentes está fora da nossa capacidade de detectar.
Xiota
5

Mais difícil do que você procura: todo chip de sensor de estado sólido possui suas próprias irregularidades - pequenas diferenças nas respostas de pixel e assim por diante. Um analista forense, considerando algumas imagens conhecidas de cada câmera, pode dizer inequivocamente qual câmera produziu qualquer outra imagem. AFAIK isso funciona mesmo quando apenas a saída JPG está disponível, assumindo que os parâmetros específicos de compactação sejam conhecidos.

Carl Witthoft
fonte
5
Você pode criar um link para mais informações? Eu adoraria entender como um analista forense pode dizer inequivocamente se uma determinada imagem foi produzida por uma determinada câmera ou não.
youcantryreachingme
3
Tenho dúvidas de que isso seja possível com apenas uma amostra de cada câmera. Dúvidas fortes.
Myridium
Eu acho que provavelmente uma opção seria comparar o ruído em áreas escuras. Você provavelmente precisaria de uma foto preta para referência.
21417 Rafael
O ruído do Rafael, por sua natureza, será diferente de tiro para tiro, então não vejo como isso seria útil.
Mark Ransom
11
@ MarkRansom Nem todo ruído é criado da mesma forma. =) Nesse caso, o ruído de leitura e o ruído de padrão são considerados formas de ruído no sinal, mas não são precisamente aleatórios. O ruído do padrão é um viés estático na imagem, devido às peculiaridades de cada chip sensor individual. Os padrões exclusivos desse ruído funcionam como uma impressão digital para cada sensor.
scottbb
1

Talvez não seja o que você está procurando, mas se você já tirou uma foto de amostra com cada telefone, poderá obter uma dica observando o número progressivo geralmente armazenado nos metadados.

Não tenho amostras para iPhone, mas poderia funcionar com câmeras digitais, funciona melhor se as duas unidades tiverem uma contagem de obturador significativamente diferente.

clabacchio
fonte
0

Aparentemente, não existe uma entrada EXIF ​​padronizada para o número de série do hardware. Dois modelos idênticos de câmera produzirão mais ou menos os mesmos dados EXIF ​​padronizados. Mas as câmeras às vezes salvam um número de série ou outras informações exclusivas de identificação de hardware na seção "notas do fabricante" dos dados EXIF. A "seção de notas do fabricante" possui campos definidos pelo fabricante que não são especificamente padronizados da maneira como o restante dos dados EXIF ​​que não estão nas "notas do fabricante" é padronizado. Você pode encontrá-lo com um visualizador EXIF ​​que exibe informações de "notas do fabricante" junto com os campos EXIF ​​padronizados. Usar um editor HEX ou escrever um programa curto também pode permitir que você veja as informações, se estiverem incluídas pelo fabricante.

Observe que a maioria dos produtos da Adobe (Lightroom, Photoshop, Camera Raw, conversor DNG) retira muitas das informações de "notas do fabricante" das informações EXIF ​​quando são usadas para converter ou exportar um arquivo de imagem. Os produtos Adobe também ignoram as informações das "notas do fabricante" ao exibir informações EXIF ​​de um arquivo de imagem que as contém.

Alguém fez uma postagem em 2005 no site DPReview sobre o assunto, na qual a maioria dos comentaristas compartilhou seu relativo desconhecimento sobre a seção "faça anotações" das informações do EXIF.

Polvo
fonte
5
Embora isso seja tecnicamente verdade, a maioria das ferramentas EXIF ​​normais (incluindo o Lightroom e exiftoolas duas às quais tenho acesso instantâneo) faz um bom trabalho ao extrair o número de série dos dados EXIF ​​específicos do fabricante - -SerialNumberse você estiver usando exiftool.
Philip Kendall
Parece um pouco como uma violação de privacidade para o fabricante poder identificar câmeras específicas a partir de dados EXIF ​​(em alguns casos, eles poderiam saber para quem a câmera foi vendida / quem a trouxe para reparos) ... sabemos quais incorporar isso?
thomasrutter
0

Eu não tenho um dispositivo apple, então não sei como são os dados EXIF, mas supondo que não haja marcador de identificação nas notas do fabricante e você precise analisar os dados fotográficos, esse é um problema que uma agência de alfabetos pagaria a um especialista forense um salário de 6 dígitos para descobrir. Também é possível que a Apple esteja incorporando algum tipo de marca d'água na compactação, e esses dados estariam disponíveis apenas para a aplicação da lei. Na verdade, eu ficaria surpreso se não houvesse algo assim.

Bodhi1
fonte
Também é possível que a Apple esteja incorporando algum tipo de marca d'água na compactação . Isso se chama esteganografia . Eu ficaria surpreso se a Apple estivesse fazendo algo assim. Eles se posicionaram fortemente a favor dos direitos de privacidade dos usuários e não aderiram a nenhuma demanda por "chaves de criptografia backdoor" para aplicação da lei em nenhum outro elemento de seus produtos. E o problema de ocultar qualquer sinal na compactação de imagem é que é incrivelmente difícil preservar essa informação (talvez impossível) se a imagem for editada e compactada novamente.
scottbb
0

Resposta simples: Não.

Possuo 3 iPhone 7 e sou especialista em metadados.

Embora você possa descobrir através da abordagem forense descrita por Carl Witthoft.

Texxi
fonte
Você pode fornecer em resposta algo mais sobre essa abordagem forense?
Romeo Ninov 29/10
Não posso descrevê-lo melhor do que Carl Witthoft. Sou mecânico, não cientista forense, senhor.
Texxi 30/10