Tengo un JPG y lo estoy analizando para determinar su eficacia. Los metadatos de la imagen indican claramente que la imagen se digitalizó en 15:10:13, Dec 31, 2015
y debo determinar si este date digitized
se ha alterado de alguna manera.
Notas:
- Forense tengo la imagen en cuestión (manteniendo la cadena de custodia) del receptor iphone6.
- El remitente usó un iphone4s.
- No se ha encontrado que ninguna otra imagen recibida de este (o cualquier) remitente tenga una falta de coincidencia de los datos EXIF.
- Desde esta respuesta, puedo ver que sería difícil demostrar con absoluta certeza que los datos tienen o tienen no ha cambiado, pero estoy más interesado en cómo podrían haber cambiado los datos (en formas razonables, es decir, no en piratas informáticos extranjeros).
- Solo para aclarar, no hay una suspensión razonable de que el remitente haya sido alterado deliberadamente directamente, haya alterado a otra persona o haya sido afectado por un malware que altere los datos EXIF.
- El
GPS TimeStamp
dice20:10:23 UTC Dec 31, 2015
que corresponde a la marca de tiempo localizada correcta.
Asumiendo el remitente:
- no tiene aplicaciones de terceros instaladas que puedan modificar los datos EXIF.
- No tiene intención / motivo para editar datos EXIF.
- No está infectado con malware que edite datos EXIF.
- Tanto el receptor como el remitente utilizaron la aplicación
iMessage
y el mensaje se envió como un iMessage. - Tanto el receptor como el remitente están en el mismo operador de telefonía celular (T-Mobile) y están ubicados en los EE. UU.
- La zona horaria del remitente y el receptor son las mismas y no se ha realizado ningún viaje en la zona horaria en el período de muestra.
- La fecha y la hora en los dispositivos del remitente y del receptor son correctas.
No puedo replicar la supuesta modificación. Esto es lo que he intentado:
- Según el este artículo, tengo se intentó enviar un JPG de control dentro de la aplicación
iMessage
a través detake a photo
. Esto tuvo el efecto de limitar los datos EXIF (no tenía datos del sensor o DateTime Digitized) y eliminó todos los datos GPS, lo que es lo contrario de la supuesta modificación. - Enviar varios JPG de control que incluyen los siguientes casos de control; no se ha modificado en absoluto, se ha editado en el editor de imágenes de Apple (p. ej., simplemente recortado), se tomó con la cámara delantera y trasera, se envió a través de la opción
select photo
eniMessage
y se envió directamente desde la aplicaciónPhotos
. / li> - La imagen enviada en varios estados (como se describió anteriormente) con y sin un mensaje agregado al mensaje (es decir, al agregar la foto por cualquier medio, agregué texto de "prueba" al mensaje antes de enviar el mensaje.
Por lo que he intentado, llego a la conclusión de que el date digitized
es realmente válido, sin embargo, hay razones para creer que no lo es y debemos determinar cómo podría haber cambiado (dentro de mis parámetros, es decir, ninguna aplicación o persona de terceros). ).
¿Cómo podrían modificarse automáticamente los datos EXIF, específicamente los datos "DateTime Digitized / Original"? ¿Es probable que se pueda cambiar a través de iMessage
, Apple, IOS o Iphone (s)?
He incluido una instantánea de los datos EXIF (de la herramienta inspector
más agradable a la vista de Apple, el examen forense real muestra lo mismo en binario.