EXIF-metadatabeskyttelse: Et billede er tusinde datapunkter værd
Når du tager et digitalt billede med dit kamera eller din telefon, gemmer det mere end blot de pixels og farver, der udgør billedet. Hver billedfil indeholder også metadata, som omfatter detaljer lige fra oprettelsesdato og copyright-oplysninger til det sted, hvor billedet blev taget.
Det samme gælder for billeder, der er ændret med mange fotoredigeringsprogrammer. Billedredigeringsprogrammer tilføjer ofte metadata til billeder, herunder tidsstempler for ændringer, systemoplysninger og sporede ændringer.
Metadata kan udgøre en trussel mod privatlivets fred for folk, der deler og lægger billeder online. Selvom nogle sociale netværk og fotolagrings- og delingswebsteder skrubber metadata fra uploadede billeder, undlader mange at gøre det, siger Comparitech-forskere, hvilket kan give angribere mulighed for at indsamle personlige oplysninger fra billeder, der er lagt online. For eksempel, hvis nogen poster et feriebillede med GPS-koordinater og et tidsstempel i metadataene, kan en angriber nemt finde, hvornår og hvor de rejste.
Metadata kan kategoriseres i tre brede kategorier:
- Systemmetadata genereres, når billedet gemmes (dvs. når et billede tages eller redigeringer gemmes). Det inkluderer specifikke mærkede kriterier, såsom dato og klokkeslæt, hvor billedet blev oprettet, og detaljer om det anvendte kamera og/eller redigeringssoftware
- Substansielle metadata omfatter indholdet af den faktiske fil, såsom sporede ændringer af et redigeret billede
- Indlejrede metadata inkluderer data indtastet i et dokument, som normalt ikke er synlige, såsom formler i et Excel-regneark
Billedmetadata kan indlejres internt i almindelige billedfilformater som JPEG og PNG. Sådanne billeddata gemmes normalt i Exif (udskifteligt billedfilformat). Men det kan også eksistere uden for billedfilen i et digital asset management (DAM) system. Disse omtales nogle gange som 'sidecar'-filer og gemmes ofte i XMP-formatet.
Metadata har tre brede anvendelsesmuligheder:
- Beskriver indholdet af filen, herunder nøgleord, navne på personer, der er afbildet og placeringskoordinater
- Oplysninger om ophavsret omfatter skaberens tilskrivning, licensbegrænsninger, krediteringer og brugsvilkår
- Administrative data kan omfatte oprettelsesdato, ændringsdato, placering og andre systemmetadata nævnt ovenfor.
Hvilke billeddelingstjenester skrubber metadata, og hvilke gør ikke?
Comparitech-forskere analyserede metadata-scrubbingspraksis for 12 populære billedlagrings- og delingstjenester online. De uploadede et billede af Mona Lisa fyldt med metadata til hver af tjenesterne. Efter upload downloadede de derefter billedet fra hver respektive tjeneste for at se, om metadataene forblev intakte eller ej.
Lad os starte med de mest populære steder at dele billeder på nettet.Imgur, Facebook og Instagram skrubber alle alle metadatafra billeder ved upload. Du behøver ikke bekymre dig om at lække metadata, når du uploader billeder til disse websteder. Husk dog, at selvom brugere af disse websteder ikke har adgang til metadata, har webstederne selv det.
Flickr beholder alle de originale metadatadataog viser endda meget af det på hvert fotos webside.
photobox.co.uktagger billeder i metadata-kommentarsektionen for at angive, at uploadede billeder er komprimeret. Resten af metadataene er intakte. Det var den eneste tjeneste, der rent faktisk tilføjede eller ændrede data.
De resterende billeddelings- og lagringstjenester, vi undersøgte, fjernede eller ændrede ikke nogen metadata bortset fra tidsstempler for 'modificeret dato':
- pasteboard.com
- turbomoimagehost.com
- linkpicture.com
- 8upload.com
- imgpile.com
- postimages.org
- imgbb.com
- imageupload.io
- Gifyu
Hvis du ikke ønsker at eksponere EXIF-metadata på disse websteder, bliver du nødt til at skrubbe billeder på forhånd. Mere om, hvordan du gør det nedenfor.
Hvordan du kan spores ved hjælp af EXIF-metadata: forskningseksempler
Comparitech-forskere beviste billedmetadatas følsomhed ved at bruge offentligt tilgængelige billeder til at spore billedmotiver og skabere. (Bemærk: vi har skrubbet alle følgende billeder af deres originale metadata).
Lad os starte med et simpelt eksempel. Ved hjælp af GPS-metadataene på billedet ovenfor, fandt vi ud af, at det var taget nær Sørstranda, Norge.
Det næste emne var et billede af en mands ansigt. Ved hjælp af billedmetadata, omvendt billedsøgning og en smule open source-intelligens (OSINT) var forskere i stand til at identificere ham som en tidligere game-show-deltager. De fandt hans land, fødselsdato, bryllupsdato, ægtefælles navn, Facebook-profil, Twitter-konto, LinkedIn-side, Instagram-konto, erhvervserfaring, færdigheder, uddannelse og interesser. Forskere var også i stand til at identificere og finde information om emnets game-show holdkammerater.
Et andet emne var et hovedbillede i pasform med en mand i, hvad der ser ud til at være militær træthed. Forskere var i stand til at spore billedet til et websted med billeder af emnets skoleafslutning. Ved hjælp af skolenavnet og afgangsgalleriet hentede forskere navnene på alle i hans afgangsklasse. Med mulighederne indsnævret fandt de en mand med et navn, der ligner billedets filnavn. Forskere fortsatte med at finde mandens Facebook- og Instagram-profiler. Ved at bruge disse billeder opdagede de yderligere, at han faktisk var en soldat. De lærte hans division og brigade og information om hans nærmeste slægtninge.
Til sidst identificerede forskere en filippinsk statsborger ved hjælp af et foto af sig selv, der blev lagt ud på et billeddelingswebsted. Forsøgspersonen holder billedlegitimation op. Sådanne billeder bruges ofte til at verificere forsøgspersonens identitet over for en digital tjeneste, såsom en netbank. Forskere var i stand til at finde ud af forsøgspersonens land, fødselsdato, vægt, højde, blodtype, adresse, Facebook-profil, job, uddannelse, som hun for nylig havde Covid-19, og hendes Youtube-kanal.
Metadata brugt som retsbevis
Metadata fra billeder og andre filer er blevet brugt som bevismateriale i domstole og politiundersøgelser, hvilket viser metadatas værdi fra et privatlivsperspektiv. Her er et par fremtrædende eksempler:
- I 2016 brugte to Harvard-studerende GPS-koordinater, der var gemt i metadataene for fotos, der blev lagt ud på det mørke web til at identificere narkohandlere 229 narkohandlere . Dark web-narkohandlere lægger ofte billeder af deres produkter online for at hjælpe med at bevise deres troværdighed, men de glemmer ofte at skrubbe EXIF-data på forhånd.
- I 2017 ansat i Bio-Rad Laboratories anlagde sag mod hans arbejdsgiver påstår, at han blev fyret for at fortælle myndighederne om potentiel bestikkelse i Kina. En præstationsgennemgang med et metadata-tidsstempel dateret efter, at han blev fyret, tjente som bevis i sagen, hvilket resulterede i en højere udbetaling for overtrædelse af love mod at fyre whistleblowere. Dette er den største metadata-linkede udbetaling til dato på $10,8 millioner i erstatning.
- I 2015 en dommer smed en sag ud hvor en kvinde anklagede sin ægtefælle for fysisk vold. Sagsøgeren fremlagde flere billeder som bevis for misbrug, men metadataene indikerede den dato, hvor hustruen havde hævdet, at misbruget fandt sted tre måneder efter, at billederne blev taget.
- Det digitale retsmedicinske firma Legility udgav en casestudie (PDF) der beskriver en retssag, den undersøgte. I så fald opkøbte en sundhedsvirksomhed en anden virksomhed. Medarbejdere fra den oprindelige virksomhed rejste for at starte deres egen virksomhed. Det nu opkøbte firma sagsøgte det nye firma og påstod, at det havde stjålet medarbejdere og stjålet forretningshemmeligheder og proprietære dokumenter, herunder kundelister. Ved at bruge metadataene fra disse dokumenter som bevis for, hvornår dokumenter blev kopieret og overført, blev det erhvervede selskab belønnet 7 millioner dollars (BNP 5,1 millioner pund).
Sådan fjerner du metadata fra billeder
Kameraer og kameraapps varierer en del, men mange af dem har en mulighed for at slukke eller begrænse genereringen af metadata. Tjek dine kamera- eller appindstillinger.
De fleste kameraer og billedredigeringsprogrammer gemmer billedmetadata i EXIF-formatet. Du kan muligvis redigere EXIF-data om udgangsbilleder gennem dit kamera eller fotoredigeringsapp.
Nogle programmer er specielt designet til at arbejde med metadata. ExifTool og Billedscrubber er to gode open source-muligheder.
Windows 10 kommer med en indbygget mulighed for at fjerne metadata. Dette vil dog kun fjerne metadata, som Windows 10 forstår, hvilket betyder, at det kan efterlade nogle metadata. Alligevel bør det i det mindste hjælpe med at minimere den information, der er gemt i billeder. Hvis du er pc-bruger, skal du blot følge disse trin:
- Højreklik på billedfilen og vælgEjendommefor at åbne et nyt vindue
- Klik pådetaljerfanen øverst
- Klik på linket, der sigerFjern egenskaber og personlige oplysningerpå bunden. Endnu et nyt vindue vil dukke op.
- I denFjern egenskabervindue, vælgFjern følgende egenskaber fra denne fil:
- KlikVælg alle, derefterOkay