EXIF 信息带来的隐私问题:一图千金

一张图片所传达的信息可能比你所想的要多得多

当你使用相机或手机拍照时,照片中保存的不仅仅是图像的像素和颜色信息,每个图片文件中还包含了元数据(metadata),其中包括图片的创建日期、版权信息、甚至是拍摄时你所在的位置信息。

被图像编辑程序修改过的图片也是如此。他们通常会向图片中添加一些元数据,包括修改日期、系统信息和追踪信息。

EXIF 数据示例,包括拍摄照片的 GPS 坐标

元数据可能会对在网络上发布照片的人造成隐私威胁。Comparitech 研究人员表示,尽管一些社交网站和照片共享网站会将上传照片中的元数据删除,但仍然有许多网站并没有这样做,这可能会使攻击者能够从网络上发布的照片中收集个人信息。例如,如果有人发布带有 GPS 坐标和时间戳的假期照片,攻击者则可以轻松找出他们旅行的时间和地点。

哪些网站会清理元数据,哪些不会?

Comparitech 研究人员分析了 12 种流行的在线图片存储共享服务,检查他们是否清除了图片的元数据。他们将含有元数据的蒙娜丽莎图片上传到了这些网站上。上传之后,他们从网站上重新下载回之前上传的图像,以查看元数据是否仍然存在。

一张上传到 imgbb 的图像,网页预览及其元数据

让我们从最流行的图片共享网站的地方开始。Imgur**、**Facebook 和 Instagram 都会在上传时清除照片中的所有元数据,因此,将图像上传到这些网站时,你不必担心会泄露元数据。但是请注意,即使这些网站的用户无法访问元数据,但网站本身却可以。

Flickr 保留了所有原始的元数据,甚至在每张照片的网页上显示出了它们。

Photobox.co.uk 在元数据的 comments 部分标记了照片,以表明上传的图片已被压缩。而其余的元数据则完好无损。它也是唯一已知会添加或修改数据的网站。

我们检查的其余图片共享网站没有删除或修改除“修改日期”之外的任何元数据:

  • Pasteboard.co
  • Turbmoimagehost.com
  • Linkpicture.com
  • 8upload.com
  • Imgpile.com
  • Postimages.org
  • Imgbb.com
  • Imageupload.io
  • Gifyu

如何使用 EXIF 元数据跟踪你:实践测试

Comparitech 研究人员通过使用公开可用的图片,来追踪图片的拍摄者,以证明图像元数据的敏感性。(注:我们已经删除了以下所有图片的元数据)

exif metadata example

让我们从一个简单的例子开始。 使用上图中的 GPS 元数据,我们确定它是在挪威 Sørstranda 附近拍摄的。

exif metadata example 2

下一个实验是一张男人脸的照片。 通过图片的元数据、反向图像搜索和一些开源情报 (OSINT),研究人员能够将他识别为一位游戏节目参赛者。 他们找到了他的国家、出生日期、结婚日期、配偶姓名、Facebook 个人资料、Twitter 帐户、LinkedIn 页面、Instagram 帐户、工作经验、技能、教育和兴趣。 研究人员还能够识别和查找与该人有关的的游戏节目队友的相关信息。

exif metadata example 3

另一个实验是一张护照式的头像,是一位穿着军装的男人。 研究人员能够通过图片追踪到含有该人毕业照片的一个学校网站。通过学校名称和毕业名册,研究人员得以了解他毕业班中每个人的名字。 随着可能性的缩小,他们找到了一个名字与图片文件名相似的人。 研究人员继续查找该男子的 Facebook 和 Instagram 个人资料。 通过这些图片,他们进一步证实了他是一名士兵。 他们可以查询到他所在的师和旅,以及他亲戚的有关信息。

exif metadata example 4

最后,研究人员通过在图片共享网站上发布的一张照片,锁定了一名菲律宾国民。该人正举着身份证拍照。 此类照片通常用于向数字服务(例如在线银行)验证主体的真实身份。 研究人员能够找到她的国家、出生日期、体重、身高、血型、地址、Facebook 个人资料、工作、教育等信息,并了解到她最近感染了 Covid-19,同时还追踪到了她的 Youtube 频道。

用作法庭证据

来自图片和其他文件的元数据已被用作法庭和警方调查的证据,从隐私角度展示了元数据的价值。 以下是一些典型示例:

  • 2016 年,两名哈佛学生使用暗网上照片元数据中的 GPS 坐标识别了 229 名毒贩。 暗网毒贩经常在网上发布他们产品的图片以帮助证明他们的可信度,但他们经常忘记事先清理 EXIF 数据。
  • 2017 年,Bio-Rad Laboratories 的一名员工对其雇主提起诉讼,指控其雇主而将自己解雇,而解雇原因是因为该员工向当局透露了雇主在中国可能的贿赂行为。在他被解雇后,一份带有元数据(包含有关时间戳)的绩效评估充当了此案的证据,使得该雇主因违反禁止解雇举报人的法律而使该员工获得了更高的赔偿。 这是迄今为止最大的与元数据相关的支出,损失为 1080 万美元。
  • 2015 年,一名法官驳回了一名妇女指控其配偶进行身体虐待的案件。 原告提供了几张照片作为虐待的证据,但元数据显示,妻子声称虐待发生在照片拍摄三个月后。
  • 数字取证公司 Legility 发布了一份案例研究 (PDF),描述了其调查的一起诉讼。 在该案例中,一家医疗保健公司收购了另一家企业。 原公司的员工离职后创办了自己的公司。现在被收购的公司起诉了新公司,指控其挖走了员工并窃取了商业机密和含有客户名单的专有文件。 利用这些文件的元数据作为文件被复制和被转移的证据,被收购的公司获得了 700 万美元(GDP 510 万英镑)的奖励。

如何从图片中删除元数据

Windows

相机和各类应用的种类很多,但当中的很多都可以选择关闭或限制元数据的生成。因此你可以检查您的相机或应用程序设置。

大多数相机和图像编辑程序以 EXIF 格式存储图片元数据。 你或许可以使用相机或照片编辑应用程序,来抹去图片的 EXIF 数据。

Windows 10 有一个内置的选项来删除元数据。如果你是 PC 用户,只需遵循这些步骤。

  1. 右键单击图像文件,选择“属性”以打开一个新窗口

  2. 点击顶部的“详细信息”标签

    windows remove metadata 2

  3. 点击底部的“删除选项和个人信息”的链接,此时将弹出另一个新窗口。

    windows remove metadata 3

  4. 在“删除选项”窗口中,选择“从该文件中移除以下内容”。

  5. 点击“全部选择”,然后点击 “确定”。

Linux

参见本博客之前的一篇博文  Linux 下使用 ExifTool 对 EXIF 的操作 

其它信息

本文由  Richard Chen  翻译自 Comparitech 的一篇文章  EXIF metadata privacy: A picture is worth a thousand data points 

翻译前已获得对方许可

如需转载,请保留原文链接、原文署名、译文链接、译文署名,并向原作者与译者取得联系

AUTHOR  :  Richard Chen
ARTICLE LICENSE  :  CC BY-SA 4.0
CODE LICENSE  :  MIT

Next: I2S 协议简介

Prev: サクラノ詩 -櫻の森の上を舞う-