Czy mogę dowiedzieć się, czy dokładnie to samo urządzenie wykonało dwa zdjęcia?

9

Powiedzmy, że mam dwa identyczne iPhone'y, oba są tego samego modelu i działają na tym samym iOS. Następnie przystępuję do sytuacji, w której ktoś wyciąga losowe zdjęcie z jednego telefonu, nie mówiąc mi, z którego pochodzi. To zdjęcie zostało zrobione przez ten telefon w pewnym momencie, który był co najmniej kilka dni temu. Zdjęcie jest następnie całkowicie usuwane z urządzenia, z którego pochodzi, nie pozostawiając śladu. Biorąc pod uwagę, że mam dostęp do obu urządzeń i dlatego mogę wykonać nieskończoną liczbę zdjęć na każdym z nich do porównania, czy istnieje sposób, na przykład poprzez odczytanie metadanych, że mogę stwierdzić, z którego telefonu pochodzi nowe zdjęcie, biorąc pod uwagę, że ja masz zdjęcie z każdego?

Edycja: załóżmy, że nikt nie próbuje celowo sfałszować metadanych. Metadane są takie same jak w momencie robienia zdjęcia. Załóżmy również, że w momencie wykonania zdjęcia oba urządzenia znajdowały się BARDZO blisko siebie.

Ponadto opisany powyżej scenariusz nie jest hipotetyczny. Właściwie to próbuję to zrobić i mam dwa iPhone SE do pracy. Ale przejrzałem surowe metadane i mam problem ze znalezieniem pól pasujących do dwóch zdjęć, które znam z tego samego źródła, które również nie pasują do zdjęcia z innego źródła.

Ponownie edytuj: Ustaliłem, że (przynajmniej większość) urządzeń Apple nie przechowuje numeru seryjnego ani żadnego innego rodzaju ostatecznych wyróżników, aby absolutnie powiedzieć, że dwa zdjęcia pochodzą z tego samego dokładnego urządzenia. Słyszałem jednak, jak ludzie mówią o tym, że ze względu na bardzo niewielkie różnice w każdym układzie, na podstawie faktycznego zdjęcia można stwierdzić, że dwa zdjęcia zostały wykonane tym samym urządzeniem. Czy ktoś wie o tym więcej?

metadata forensics Żywioł stworzenia
źródło
2
Czy interesują Cię scenariusze, w których ktoś celowo próbuje sfałszować wynik, czy tylko „nieskazitelne” obrazy z urządzeń?
Philip Kendall
Jeśli możesz podać próbki dwóch zdjęć, pomogłoby to nam. Niektórzy używają narzędzi EXIF, a niektórzy z nas są programistami, którzy mogą to zrobić w kodzie.
MikeD
Trzy zdjęcia oznaczone ich urządzeniem. Urządzenie Oznacza to, że pochodzi od jednego z dwóch, ale hipotetycznie nie wiem, który z nich. W tym przypadku wiem, z którym go zabrałem, ale to dlatego, że właśnie zrobiłem te zdjęcia. drive.google.com/drive/folders/…
The Elemental of Creation

Odpowiedzi:

2

Jak stwierdzili inni, nie ma ostatecznego sposobu udowodnienia, że obraz pochodzi z określonego urządzenia.  Wszystkie dowody muszą zostać zebrane, rozważone i skorelowane, aby uzyskać prawdopodobną odpowiedź. Obejmuje to metadane, informacje o czasie, współrzędne GPS, cechy obiektywu i czujnika oraz ustawienia kompresji.

To, czy uda się wymyślić rozsądne przypuszczenie, zależy od konkretnych obrazów i urządzeń.  Przydatne jest przejrzenie ćwiczenia z dostarczonymi obrazami w celu zademonstrowania procesu. Aby uprościć dyskusję, będę odwoływał się do obrazu A, obrazu B i obrazu U, z których każde wykonano za pomocą odpowiedniego urządzenia.

  • Urządzenia nieidentyczne.  Na urządzeniu A jest zainstalowany system iOS 9.3.5. Urządzenie B ma zainstalowany system iOS 10.1.1. Urządzenie U ma również zainstalowany system iOS 9.3.5.

  • Zakładając, że przesłałeś zdjęcia wkrótce po ich zrobieniu, zdjęcia A i U zostały wykonane przy użyciu urządzeń, których czas pracy wynosił około 27 godzin. Zdjęcie B zostało zrobione za pomocą urządzenia o czasie pracy około 107 godzin. Na podstawie czasu pracy mogę się domyślić, że Zdjęcie U zostało zrobione około 16 sekund po Obrazie A.

  • Na podstawie znaczników czasu zdjęcie U zostało wykonane około 17 sekund po zdjęciu A. Zdjęcie B zostało zrobione 19 dni przed którymkolwiek z nich. Oczywiście samo to nie ma znaczenia, a znaczniki czasu są często niepoprawne. Jednak w połączeniu z informacjami o czasie pracy Image U i Image A są ze sobą ściśle powiązane.

  • Sprawdziłem DQT każdego obrazu. DQT określa „jakość” kompresji JPEG. Co ciekawe, był identyczny dla obrazu A i B, ale inny dla obrazu U. Nie był pomocny.

  • Gdybym był w posiadaniu urządzeń, mógłbym spróbować zrobić wiele zdjęć jasnych i ciemnych płaskich pól przy wielu ustawieniach. Być może wyrównanie obiektywu, jasne wzory (winietowanie), gorące punkty, wzory „szumów” lub drobinki kurzu zdradziłyby jedno z urządzeń. Niestety w przypadku wielu zdjęć jest to mało pomocne, ponieważ temat często maskuje te funkcje.

  • Gdybym miał dużą liczbę zdjęć do korelacji ze sobą, mógłbym spróbować zmapować je na podstawie danych GPS. Obrazy, które się grupują, częściej są ze sobą powiązane. Jest mało prawdopodobne, aby zdjęcia wykonane jednocześnie w dużej odległości były wykonane tym samym urządzeniem.

  • Badałbym również zawartość obrazu, taką jak ludzie lub punkty orientacyjne. Pomogłoby to grupować obrazy razem, a także potwierdzać dane GPS.

Biorąc pod uwagę to, czego się nauczyłem, muszę zdecydować, jak pewny jestem swoich wniosków. Biorąc pod uwagę, że scenariusz przedstawiony wymaga żadnych sztuczek, jestem dość pewny siebie Urządzenie U = Urządzenie A .

Ponownie, żadne z powyższych nie jest ostateczne i nie mogę wykluczyć trzeciego Urządzenia C , ani nawet tego Urządzenia A = Urządzenia B. Chociaż to drugie jest mało prawdopodobne, ponieważ oznaczałoby to obniżenie wersji iOS.

Xiota
źródło
Celem nie było RZECZYWISTO zrobienie tego na zdjęciach testowych. Celem było ustalenie na podstawie nowego zdjęcia wykonanego losowo na urządzeniu, które mogło zostać zrestartowane. Zasadniczo wszelkie metadane dotyczące czasu byłyby całkowicie nieistotne w tej sytuacji. Również lokalizacja GPS byłaby nieistotna. I chociaż iOS może stwierdzić, że jedno urządzenie nie zrobiło zdjęcia, celem było, aby móc definitywnie powiedzieć, że określone urządzenie DID. Zacząłeś wymieniać techniki określania konkretnego połączenia urządzenia ze zdjęciem, ale teraz jak to zrobić.
The Elemental of Creation
Jak stwierdzam, nic z tego nie jest ostateczne. Wszystkie te informacje muszą zostać zebrane i skorelowane w celu ustalenia zaufania do wniosku. W tym przypadku 3/6 punktów, które zbadałem, pasowało do siebie. Dwa są niemożliwe do wykonania, a jeden był niejednoznaczny. Wykonując ćwiczenie, konkretnie pokazuję kroki, które należy podjąć, i że w tym przypadku istnieje rozsądna korelacja między A i U. W przeciwnym razie po prostu machałbym ręką i powiedziałem, że to niemożliwe, jak wszyscy jeszcze.
xiota,
Ponadto lokalizację GPS można po prostu wyłączyć, więc jest to niewiarygodna metoda. Z tego, co mogę powiedzieć, cokolwiek, co ma związek z metadanymi, nie będzie w stanie definitywnie udowodnić niczego, ponieważ metadane mogą zostać usunięte (usunięte, a nie zastąpione fałszywymi informacjami), a metadane mogą być po prostu błędne. Ponieważ iPhone nie stosuje żadnych unikalnych identyfikatorów do zdjęć, nie ma mowy o metadanych. Analiza samego obrazu wydaje się jedynym sposobem. Byłoby bardzo mile widziane, gdybyś mógł rozwinąć więcej na ten temat.
The Elemental of Creation
Bierzesz wszelkie możliwe dane i korelujesz je ze sobą. Nie możesz powiesić kapelusza na jednym potencjalnie fałszywym dokumencie. Jeśli metadane są dostępne, należy ich użyć. Na przykład, jeśli grupowanie zdjęć na mapie pokazuje, że zdjęcia zostały zrobione setki mil od siebie w tym samym czasie, jest mało prawdopodobne, że zostały zrobione tym samym urządzeniem, chociaż takie informacje można sfałszować. Jest to jednak sprzeczne z założeniami zawartymi w pytaniu.
xiota,
1
Jeśli chodzi o robienie zdjęć z płaskim polem, nie jestem pewien, co o tym powiedzieć, poza tym, że robisz kilka zdjęć rozproszonego światła i ciemnych pól przy różnych ustawieniach. Możesz znaleźć winietowanie obiektywu, kurz, gorące punkty lub „szumy” czujnika. Następnie poszukaj tych samych funkcji na zdjęciach. Nie jest to jednak również ostateczne, ponieważ tematy fotograficzne często je zaciemniają. Ponadto korekcja obiektywu działa, ponieważ większość różnic między tymi samymi modelami czujników i soczewek wykracza poza naszą zdolność wykrywania.
xiota,
5

Trudniejsze niż to, czego szukasz: każdy układ czujnika półprzewodnikowego ma swoje nieregularności - niewielkie różnice w reakcjach na piksele i tak dalej. Analityk kryminalistyczny, biorąc pod uwagę kilka zdjęć z każdej kamery, może jednoznacznie stwierdzić, która kamera wyprodukowała inny obraz. AFAIK działa to nawet wtedy, gdy dostępne jest tylko wyjście JPG, przy założeniu, że określone parametry kompresji są znane.

Carl Witthoft
źródło
5
Czy możesz podać link do dalszych informacji? Chciałbym zrozumieć, w jaki sposób analityk kryminalistyczny może jednoznacznie stwierdzić, czy dany obraz został wyprodukowany przez daną kamerę, czy nie.
youcantryreachingme
3
Mam wątpliwości, czy jest to możliwe tylko z jedną próbką z każdej kamery. Silne wątpliwości
Myridium
Myślę, że prawdopodobnie opcją byłoby porównanie hałasu w ciemnych obszarach. Prawdopodobnie potrzebujesz czarnego zdjęcia w celach informacyjnych.
Rafael
@ Hałas Rafaela z natury będzie różny dla poszczególnych ujęć, więc nie wiem, jak by to było pomocne.
Mark Ransom
1
@MarkRansom Nie każdy hałas jest taki sam. =) W tym przypadku szum odczytu i szum wzoru są uważane za formy szumu w sygnale, ale nie są dokładnie przypadkowe. Szum wzoru jest statycznym odchyleniem na obrazie, ze względu na osobliwości każdego pojedynczego układu czujnika. Unikalne wzory w tym hałasie działają jak odcisk palca dla każdego czujnika.
scottbb
1

Może nie to, czego szukasz, ale jeśli zrobiłeś już przykładowe zdjęcie z każdym telefonem, możesz uzyskać wskazówkę, patrząc na numer progresywny zwykle przechowywany w metadanych.

Nie mam próbek iPhone'a, ale może współpracować z aparatami cyfrowymi, działa najlepiej, jeśli dwie jednostki mają znacznie inną liczbę migawek.

clabacchio
źródło
0

Najwyraźniej nie ma znormalizowanego wpisu EXIF ​​dla numeru seryjnego sprzętu. Dwa identyczne modele aparatu będą generować mniej więcej te same znormalizowane dane EXIF. Ale kamery czasami zapisują numer seryjny lub inną unikalną informację identyfikującą sprzęt w sekcji „uwagi producenta” danych EXIF. W „sekcji notatek producenta” znajdują się pola zdefiniowane przez producenta, które nie są specjalnie ujednolicone, tak jak znormalizowana jest reszta danych EXIF ​​nie zawartych w „notatkach producenta”. Możesz go znaleźć w przeglądarce EXIF, która wyświetla informacje „notatek dla twórców” wraz ze znormalizowanymi polami EXIF. Korzystanie z edytora HEX lub pisanie krótkiego programu może również pozwolić na wyświetlenie informacji, jeśli są one zawarte przez producenta.

Należy pamiętać, że większość produktów Adobe (Lightroom, Photoshop, Camera Raw, konwerter DNG) usuwa wiele informacji „notatek producenta” z informacji EXIF, gdy są one używane do konwersji lub eksportu pliku obrazu. Produkty Adobe ignorują również informacje „notatek producenta” podczas wyświetlania informacji EXIF ​​z pliku obrazu, który ją zawiera.

Ktoś napisał w 2005 roku na stronie internetowej DPReview o tym, w której większość komentujących podzieliła się względnym brakiem wiedzy na temat sekcji „ notuj ” informacji EXIF.

Ośmiornica
źródło
5
Chociaż jest to technicznie prawdą, większość normalnych narzędzi EXIF ​​(w tym Lightroom i exiftooldwa, do których akurat mam natychmiastowy dostęp), robi całkiem niezłą robotę, wyodrębniając numer seryjny z danych EXIF ​​określonych przez producenta - -SerialNumberjeśli używasz exiftool.
Philip Kendall,
To trochę przypomina naruszenie prywatności dla producenta, który może zidentyfikować określone kamery na podstawie danych EXIF ​​(w niektórych przypadkach mogliby wiedzieć, komu ten aparat został sprzedany / kto przyniósł go do naprawy) ... czy wiemy, które z nich osadzić to?
thomasrutter
0

Nie mam urządzenia Apple, więc nie wiem, jak wyglądają dane EXIF, ale zakładając, że nie ma znacznika identyfikującego w notatkach producenta i trzeba by przeanalizować dane fotograficzne, jest to problem, który agencja alfabetyczna zapłaci ekspertowi kryminalistycznemu 6-cyfrową pensję, aby się zorientować. Możliwe jest również, że Apple może osadzić jakiś znak wodny w kompresji, a dane te będą dostępne tylko dla organów ścigania. Byłbym zaskoczony, gdyby nie było czegoś takiego.

Bodhi1
źródło
Możliwe jest również, że Apple kompresuje jakiś znak wodny . To się nazywa steganografia . Byłbym zaskoczony jeśli Apple zostały robić coś takiego. Zdecydowanie poparli prawa użytkowników do prywatności i nie przyjęli żadnych żądań dotyczących „kluczy szyfrujących backdoora” w celu egzekwowania prawa w jakichkolwiek innych elementach swoich produktów. Problem z ukrywaniem jakiegokolwiek sygnału podczas kompresji obrazu polega na tym, że niezwykle trudno jest zachować tę informację (być może niemożliwe), jeśli obraz zostanie poddany edycji i ponownie skompresowany.
scottbb
0

Prosta odpowiedź: nie.

Posiadam 3 iPhone'y 7 i jestem specjalistą od metadanych.

Chociaż możesz się tego dowiedzieć dzięki podejściu kryminalistycznemu opisanemu przez Carla Witthofta.

Texxi
źródło
Czy możesz podać w odpowiedzi coś więcej na temat tego podejścia kryminalistycznego?
Romeo Ninov
Nie potrafię tego lepiej opisać niż Carl Witthoft. Jestem mechanikiem, a nie kryminalistą.
Texxi