Kann ich herausfinden, ob zwei Bilder mit genau demselben Gerät aufgenommen wurden?

9

Nehmen wir also an, ich habe zwei identische iPhones, beide sind dasselbe Modell und verwenden dasselbe iOS. Ich lasse dann jemanden ein zufälliges Bild von einem der Telefone ziehen, ohne mir zu sagen, von welchem ​​es stammt. Das Bild wurde von diesem Telefon irgendwann vor mindestens ein paar Tagen aufgenommen. Das Foto wird dann vollständig von dem Gerät entfernt, von dem es stammt, und hinterlässt keine Spuren. Angesichts der Tatsache, dass ich Zugriff auf beide Geräte habe und daher unendlich viele Bilder auf jedem Gerät zum Vergleichen aufnehmen kann, gibt es eine Möglichkeit, wie durch Lesen der Metadaten, zu erkennen, von welchem ​​der Telefone das neue Bild stammt, vorausgesetzt, dass ich Haben Sie ein Bild von jedem?

Bearbeiten: Nehmen wir an, dass niemand versucht, die Metadaten absichtlich zu fälschen. Die Metadaten sind die gleichen wie bei der Aufnahme. Nehmen wir auch an, dass sich beide Geräte zum Zeitpunkt der Aufnahme sehr nahe beieinander befanden.

Auch das oben beschriebene Szenario ist nicht hypothetisch. Ich versuche das tatsächlich und ich habe zwei iPhone SEs, mit denen ich arbeiten kann. Aber ich habe die rohen Metadaten durchgesehen und habe Probleme, Felder zu finden, die mit zwei Fotos übereinstimmen, von denen ich weiß, dass sie aus derselben Quelle stammen und die auch nicht mit einem Foto aus einer anderen Quelle übereinstimmen.

Erneut bearbeiten: Ich habe festgestellt, dass (zumindest die meisten) Apple-Geräte keine Seriennummer oder andere definitive Unterscheidungsmerkmale speichern, um absolut zu sagen, dass zwei Fotos von genau demselben Gerät stammen. Ich habe jedoch Leute darüber sprechen hören, wie aufgrund der sehr geringen Unterschiede in jedem Chip anhand des tatsächlichen Fotos festgestellt werden kann, dass zwei Bilder mit demselben Gerät aufgenommen wurden. Weiß jemand mehr darüber?

metadata forensics Das Element der Schöpfung
quelle
2
Interessieren Sie sich für Szenarien, in denen jemand absichtlich versucht, das Ergebnis zu fälschen, oder nur für "makellose" Bilder von den Geräten?
Philip Kendall
Wenn Sie Beispiele der beiden Bilder zur Verfügung stellen könnten, würde dies uns helfen. Einige verwenden EXIF-Tools und einige von uns sind Programmierer, die dies möglicherweise in Code ausführen können.
MikeD
Drei Bilder von ihrem Gerät beschriftet. Gerät? Bedeutet, dass es von einem der beiden kam, aber ich weiß hypothetisch nicht, welches. In diesem Fall weiß ich, mit welchem ​​ich es aufgenommen habe, aber das liegt daran, dass ich gerade diese Fotos gemacht habe. drive.google.com/drive/folders/…
Das

Antworten:

2

Wie schon andere gesagt haben, gibt es keine endgültige Art und Weise zu beweisen , dass ein Bild von einem bestimmten Gerät.  Alle Beweise müssen gesammelt, berücksichtigt und korreliert werden, um eine wahrscheinliche Antwort zu erhalten. Dies umfasst Metadaten, Zeitinformationen, GPS-Koordinaten, Objektiv- und Sensoreigenschaften sowie Komprimierungseinstellungen.

Ob man vernünftige Vermutungen anstellen kann, hängt von den jeweiligen Bildern und Geräten ab.  Es ist nützlich, die Übung mit den bereitgestellten Bildern durchzugehen, um den Prozess zu demonstrieren. Zur Vereinfachung der Diskussion werde ich auf Bild A, Bild B und Bild U verweisen, die jeweils mit dem entsprechenden Gerät aufgenommen wurden.

  • Die Geräte sind nicht identisch.  Auf Gerät A ist iOS 9.3.5 installiert. Auf Gerät B ist iOS 10.1.1 installiert. Auf Gerät U ist auch iOS 9.3.5 installiert.

  • Angenommen, Sie haben die Bilder kurz nach der Aufnahme hochgeladen, wurden Bild A und U beide mit Geräten aufgenommen, die eine Betriebszeit von etwa 27 Stunden hatten. Bild B wurde mit einem Gerät mit einer Betriebszeit von etwa 107 Stunden aufgenommen. Aufgrund der Verfügbarkeit könnte ich vermuten, dass Bild U etwa 16 Sekunden nach Bild A aufgenommen wurde.

  • Basierend auf Zeitstempeln wurde Bild U ungefähr 17 Sekunden nach Bild A aufgenommen. Bild B wurde 19 Tage vor einem von beiden aufgenommen. Dies ist natürlich für sich genommen bedeutungslos und Zeitstempel sind oft falsch. In Kombination mit Verfügbarkeitsinformationen korrelieren Bild U und Bild A jedoch eng miteinander.

  • Ich habe die DQT jedes Bildes untersucht. Der DQT bestimmt die "Qualität" der JPEG-Komprimierung. Interessanterweise war es für Bild A und B identisch, für Bild U jedoch unterschiedlich. Nicht hilfreich.

  • Wenn ich im Besitz der Geräte wäre, könnte ich versuchen, mehrere helle und dunkle Flachfeldbilder mit mehreren Einstellungen aufzunehmen. Möglicherweise würden Linsenausrichtung, Lichtmuster (Vignettierung), Hot Spots, "Rauschmuster" oder Staubflecken eines der Geräte verraten. Leider ist es für viele Bilder unwahrscheinlich, dass dies hilfreich ist, da das Motiv diese Funktionen häufig maskiert.

  • Wenn ich eine große Anzahl von Bildern hätte, die miteinander korrelieren könnten, könnte ich versuchen, sie basierend auf GPS-Daten abzubilden. Bilder, die sich zusammenballen, sind eher miteinander verwandt. Es ist sehr unwahrscheinlich, dass Bilder, die gleichzeitig weit voneinander entfernt aufgenommen wurden, mit demselben Gerät aufgenommen wurden.

  • Ich würde auch Bildinhalte wie Personen oder Sehenswürdigkeiten untersuchen. Dies würde helfen, Bilder zu gruppieren und GPS-Daten zu bestätigen.

Wenn ich nun berücksichtige, was ich gelernt habe, muss ich entscheiden, wie sicher ich in meiner Schlussfolgerung bin. Da das Szenario beinhaltet keine Tricks vorgestellt, ich bin ziemlich zuversichtlich Gerät U = Gerät A .

Auch hier ist keines der oben genannten Punkte endgültig, und ich kann ein drittes Gerät C oder sogar dieses Gerät A = Gerät B nicht ausschließen. Letzteres ist jedoch unwahrscheinlich, da dies bedeuten würde, dass iOS herabgestuft wurde.

Xiota
quelle
Das Ziel war nicht, es tatsächlich auf den Testfotos zu tun. Das Ziel bestand darin, anhand eines neuen Fotos zu bestimmen, das zu einem zufälligen Zeitpunkt auf einem Gerät aufgenommen wurde, das möglicherweise neu gestartet wurde. Grundsätzlich wären zeitaufwändige Metadaten in dieser Situation völlig irrelevant. Auch der GPS-Standort wäre irrelevant. Und während iOS feststellen kann, dass ein einzelnes Gerät das Foto nicht aufgenommen hat, bestand das Ziel darin, definitiv sagen zu können, dass ein bestimmtes Gerät DID hat. Sie haben angefangen, Techniken zu erwähnen, um bestimmte Verbindungen zwischen Gerät und Foto zu bestimmen, aber jetzt, wie man vorgehen würde.
Das Elementar der Schöpfung
Wie ich bereits sagte, ist nichts davon endgültig. Alle diese Informationen müssen gesammelt und korreliert werden, um das Vertrauen in eine Schlussfolgerung zu bestimmen. In diesem Fall stimmten 3/6 der von mir untersuchten Punkte überein. Zwei sind unmöglich durchzuführen, und einer war nicht schlüssig. Indem ich die Übung tatsächlich durchführe, zeige ich konkret die Schritte, die Sie unternehmen müssten, und dass in diesem Fall eine vernünftige Korrelation zwischen A und U besteht. Andernfalls würde ich nur mit der Hand winken und sagen, dass dies nicht möglich ist, wie jeder andere auch sonst.
Xiota
Außerdem kann der GPS-Standort einfach deaktiviert werden, sodass dies eine unzuverlässige Methode ist. Nach allem, was ich sagen kann, kann alles, was mit Metadaten zu tun hat, nichts definitiv beweisen, da Metadaten entfernt (entfernt, nicht durch falsche Informationen ersetzt) ​​werden können und die Metadaten möglicherweise einfach falsch sind. Da das iPhone keine eindeutige Kennung für Fotos verwendet, kommen Metadaten nicht in Frage. Die Analyse des Bildes selbst scheint der einzige Weg zu sein. Es wäre sehr dankbar, wenn Sie darauf näher eingehen könnten.
Das Element der Schöpfung
Sie nehmen alle Daten, die Sie können, und korrelieren sie miteinander. Sie können Ihren Hut nicht an eine einzelne potenziell falsche Information hängen. Wenn Metadaten verfügbar sind, sollten sie verwendet werden. Wenn beispielsweise das Clustering der Fotos auf einer Karte zeigt, dass Bilder gleichzeitig in einem Abstand von mehreren hundert Kilometern aufgenommen wurden, ist es unwahrscheinlich, dass sie mit demselben Gerät aufgenommen wurden, obwohl solche Informationen gefälscht werden können. Dies widerspricht jedoch den Annahmen in der Frage.
Xiota
1
Was das Aufnehmen von Flachfeldfotos angeht, bin ich mir nicht sicher, was ich dazu sagen soll, außer dass Sie eine Reihe von Bildern von diffus beleuchteten hellen und dunklen Feldern in verschiedenen Einstellungen aufnehmen. Möglicherweise finden Sie Linsenvignettierung, Staub, heiße Stellen oder Sensorrauschmuster. Dann suchen Sie nach denselben Funktionen auf den Fotos. Es ist jedoch auch nicht endgültig, da fotografische Motive dazu neigen, sie zu verschleiern. Die Linsenkorrektur funktioniert auch, da die meisten Unterschiede zwischen denselben Sensormodellen und Linsen außerhalb unserer Erkennungsfähigkeit liegen.
Xiota
5

Schwieriger als das, wonach Sie suchen: Jeder Festkörpersensorchip weist seine eigenen Unregelmäßigkeiten auf - geringfügige Unterschiede in der Pixelempfindlichkeit usw. Ein forensischer Analytiker kann anhand einiger Bilder, von denen bekannt ist, dass sie von jeder Kamera stammen, eindeutig sagen, welche Kamera ein anderes Bild erzeugt hat. AFAIK Dies funktioniert auch dann, wenn nur JPG-Ausgabe verfügbar ist, vorausgesetzt, die spezifischen Komprimierungsparameter sind bekannt.

Carl Witthoft
quelle
5
Können Sie auf weitere Informationen verlinken? Ich würde gerne verstehen, wie ein forensischer Analytiker eindeutig sagen kann, ob ein bestimmtes Bild von einer bestimmten Kamera erzeugt wurde oder nicht.
youcantryreachingme
3
Ich habe Zweifel, dass dies mit nur einer Probe von jeder Kamera möglich ist. Starke Zweifel.
Myridium
Ich denke, wahrscheinlich wäre eine Option der Vergleich von Rauschen in dunklen Bereichen. Sie würden wahrscheinlich ein schwarzes Foto als Referenz benötigen.
Rafael
@ Rafael Lärm wird von Natur aus von Schuss zu Schuss unterschiedlich sein, daher sehe ich nicht, wie hilfreich das wäre.
Mark Ransom
1
@MarkRansom Nicht alle Geräusche sind gleich. =) In diesem Fall werden das Lesegeräusch und das Musterrauschen als Formen des Rauschens im Signal betrachtet, sind jedoch nicht genau zufällig. Das Musterrauschen ist aufgrund der Besonderheiten jedes einzelnen Sensorchips eine statische Vorspannung im Bild. Die einzigartigen Muster in diesem Rauschen wirken wie ein Fingerabdruck für jeden Sensor.
Scottbb
1

Vielleicht nicht das, wonach Sie suchen, aber wenn Sie bereits mit jedem Telefon ein Beispielbild aufgenommen haben, können Sie einen Hinweis erhalten, indem Sie sich die progressive Nummer ansehen, die normalerweise in den Metadaten gespeichert ist.

Ich habe keine iPhone-Beispiele, aber es könnte mit Digitalkameras funktionieren. Funktioniert am besten, wenn die beiden Geräte eine deutlich unterschiedliche Verschlusszahl haben.

Clabacchio
quelle
0

Es gibt anscheinend keinen standardisierten EXIF-Eintrag für die Hardware-Seriennummer. Zwei identische Kameramodelle erzeugen mehr oder weniger dieselben standardisierten EXIF-Daten. Manchmal speichern Kameras jedoch eine Seriennummer oder andere eindeutige Hardware-Identifikationsinformationen im Abschnitt "Herstellerhinweise" der EXIF-Daten. Der Abschnitt "Herstellernotizen" enthält vom Hersteller definierte Felder, die nicht speziell standardisiert sind, wie der Rest der EXIF-Daten, die nicht in den "Herstellernotizen" enthalten sind, standardisiert ist. Möglicherweise können Sie es mit einem EXIF-Viewer finden, der Informationen zu "Herstellernotizen" zusammen mit den standardisierten EXIF-Feldern anzeigt. Wenn Sie einen HEX-Editor verwenden oder ein kurzes Programm schreiben, können Sie die Informationen möglicherweise auch anzeigen, wenn sie vom Hersteller bereitgestellt werden.

Beachten Sie, dass die meisten Adobe-Produkte (Lightroom, Photoshop, Camera Raw, DNG-Konverter) einen Großteil der "Hersteller-Notizen" -Informationen aus den EXIF-Informationen entfernen, wenn sie zum Konvertieren oder Exportieren einer Bilddatei verwendet werden. Adobe-Produkte ignorieren auch die Informationen zum Hersteller, wenn EXIF-Informationen aus einer Bilddatei angezeigt werden, die sie enthält.

Jemand hat bereits 2005 auf der DPReview-Website einen Beitrag darüber verfasst, in dem die meisten Kommentatoren ihren relativen Mangel an Wissen über den Abschnitt "Notizen machen" der EXIF-Informationen teilten.

Tintenfisch
quelle
5
Obwohl dies technisch gesehen zutrifft, können die meisten normalen EXIF-Tools (einschließlich Lightroom und exiftoolder beiden, auf die ich zufällig sofort zugreifen kann) die Seriennummer aus den herstellerspezifischen EXIF-Daten ziemlich gut extrahieren - -SerialNumberwenn Sie sie verwenden exiftool.
Philip Kendall
Es klingt ein wenig nach einer Datenschutzverletzung für den Hersteller, bestimmte Kameras anhand von EXIF-Daten identifizieren zu können (in einigen Fällen können sie wissen, an wen diese Kamera verkauft wurde / wer sie zur Reparatur gebracht hat) ... wissen wir, welche Einbetten?
Thomasrutter
0

Ich habe kein Apple-Gerät, daher weiß ich nicht, wie die EXIF-Daten aussehen. Vorausgesetzt, die Herstellernotizen enthalten keine identifizierenden Markierungen, und Sie müssten die fotografischen Daten analysieren, ist dies ein Problem, das eine Alphabetagentur darstellt würde einem Forensiker ein 6-stelliges Gehalt zahlen, um es herauszufinden. Es ist auch möglich, dass Apple eine Art Wasserzeichen in die Komprimierung einbettet, und diese Daten stehen nur den Strafverfolgungsbehörden zur Verfügung. Tatsächlich wäre ich überrascht, wenn es so etwas nicht gäbe.

Bodhi1
quelle
Es ist auch möglich, dass Apple eine Art Wasserzeichen in die Komprimierung einbettet . Das nennt man Steganographie . Ich wäre überrascht, wenn Apple so etwas tun würde. Sie haben sich nachdrücklich für die Datenschutzrechte der Benutzer ausgesprochen und sind keiner Forderung nach "Backdoor-Verschlüsselungsschlüsseln" für die Strafverfolgung in anderen Elementen ihrer Produkte nachgekommen. Das Problem beim Ausblenden von Signalen bei der Bildkomprimierung besteht darin, dass es unglaublich schwierig ist, diese Informationen beizubehalten (möglicherweise unmöglich), wenn das Bild bearbeitet und erneut komprimiert wird.
Scottbb
0

Einfache Antwort: Nein.

Ich besitze 3 iPhone 7 und bin ein Metadatenspezialist.

Sie können dies jedoch über einen von Carl Witthoft beschriebenen forensischen Ansatz herausfinden.

Texxi
quelle
Können Sie als Antwort etwas mehr über diesen forensischen Ansatz geben?
Romeo Ninov
Ich kann es nicht besser beschreiben als Carl Witthoft. Ich bin ein Mechaniker, kein Forensiker, Sir.
Texxi