¿Cómo determinar si los datos de JPG EXIF han sido modificados por el software "OEM" (sin herramientas de terceros)?

4

Tengo un JPG y lo estoy analizando para determinar su eficacia. Los metadatos de la imagen indican claramente que la imagen se digitalizó en 15:10:13, Dec 31, 2015 y debo determinar si este date digitized se ha alterado de alguna manera.

Notas:

  • Forense tengo la imagen en cuestión (manteniendo la cadena de custodia) del receptor iphone6.
  • El remitente usó un iphone4s.
  • No se ha encontrado que ninguna otra imagen recibida de este (o cualquier) remitente tenga una falta de coincidencia de los datos EXIF.
  • Desde esta respuesta, puedo ver que sería difícil demostrar con absoluta certeza que los datos tienen o tienen no ha cambiado, pero estoy más interesado en cómo podrían haber cambiado los datos (en formas razonables, es decir, no en piratas informáticos extranjeros).
  • Solo para aclarar, no hay una suspensión razonable de que el remitente haya sido alterado deliberadamente directamente, haya alterado a otra persona o haya sido afectado por un malware que altere los datos EXIF.
  • El GPS TimeStamp dice 20:10:23 UTC Dec 31, 2015 que corresponde a la marca de tiempo localizada correcta.

Asumiendo el remitente:

  • no tiene aplicaciones de terceros instaladas que puedan modificar los datos EXIF.
  • No tiene intención / motivo para editar datos EXIF.
  • No está infectado con malware que edite datos EXIF.
  • Tanto el receptor como el remitente utilizaron la aplicación iMessage y el mensaje se envió como un iMessage.
  • Tanto el receptor como el remitente están en el mismo operador de telefonía celular (T-Mobile) y están ubicados en los EE. UU.
  • La zona horaria del remitente y el receptor son las mismas y no se ha realizado ningún viaje en la zona horaria en el período de muestra.
  • La fecha y la hora en los dispositivos del remitente y del receptor son correctas.

No puedo replicar la supuesta modificación. Esto es lo que he intentado:

  • Según el este artículo, tengo se intentó enviar un JPG de control dentro de la aplicación iMessage a través de take a photo . Esto tuvo el efecto de limitar los datos EXIF (no tenía datos del sensor o DateTime Digitized) y eliminó todos los datos GPS, lo que es lo contrario de la supuesta modificación.
  • Enviar varios JPG de control que incluyen los siguientes casos de control; no se ha modificado en absoluto, se ha editado en el editor de imágenes de Apple (p. ej., simplemente recortado), se tomó con la cámara delantera y trasera, se envió a través de la opción select photo en iMessage y se envió directamente desde la aplicación Photos . / li>
  • La imagen enviada en varios estados (como se describió anteriormente) con y sin un mensaje agregado al mensaje (es decir, al agregar la foto por cualquier medio, agregué texto de "prueba" al mensaje antes de enviar el mensaje.

Por lo que he intentado, llego a la conclusión de que el date digitized es realmente válido, sin embargo, hay razones para creer que no lo es y debemos determinar cómo podría haber cambiado (dentro de mis parámetros, es decir, ninguna aplicación o persona de terceros). ).

¿Cómo podrían modificarse automáticamente los datos EXIF, específicamente los datos "DateTime Digitized / Original"? ¿Es probable que se pueda cambiar a través de iMessage , Apple, IOS o Iphone (s)?

He incluido una instantánea de los datos EXIF (de la herramienta inspector más agradable a la vista de Apple, el examen forense real muestra lo mismo en binario.

    
pregunta Matthew Peters 03.01.2016 - 21:35
fuente

2 respuestas

7

Esto podría deberse a muchas razones. Voy a compartir lo más probable:

  • El usuario tiene una aplicación para aleatorizar / cambiar datos de propiedad / datos EXIF. Hay una aplicación para eso . Un programa de este tipo suele ser utilizado por aquellos que son paranoicos y desean algún tipo de negación plausible, o tal vez simplemente están aburridos y jugando con usted.
  • iMessage debería permitirle enviar imágenes con datos EXIF intactos, mientras que MMS estándar no lo hará. Esta es una limitación del protocolo MMS. iMessage y MMS no son lo mismo. Tenga en cuenta que puede eliminar los datos del GPS al no permitir el etiquetado geográfico en la configuración. Pruebe otra imagen de control con etiquetado geográfico habilitado en su iPhone. Settings > General > Location Services > On/Off .
  

Esta es una idea, pero no debería haber datos EXIF aquí si la imagen 'comenzó' como una imagen de SMS ...

Note que esto es del iPhone 4. El iPhone 6S es el teléfono actual. Las cosas han cambiado . Su enlace es de hace casi 4 años. Las actualizaciones pueden agregar o eliminar funciones, incluso en dispositivos más antiguos como el iPhone 4s, su máquina objetivo.

Ya que estamos hablando de análisis forense, es posible que esté trabajando en la aplicación de la ley. Si este es el caso, entonces debería intentar obtener un iPhone 4s actualizado. Tome una foto de cualquier cosa y use iMessage para enviarla a otro de sus dispositivos. Verifique que los datos EXIF estén intactos o falten. Desde allí, debes apuntar en la dirección correcta.

Si ya ha tomado el iPhone en cuestión y encontró los datos EXIF en el iPhone, es posible que no se haya transmitido por SMS. Si obtuvo los datos EXIF de un teléfono que recibió el SMS, sabrá que puede ser transmitido.

El artículo que vinculé parece sugerir que los datos EXIF ahora están incluidos de forma predeterminada. Muchos otros artículos indexados por Google también sugieren lo mismo.

    
respondido por el Mark Buffalo 03.01.2016 - 23:11
fuente
3

Cualquier aplicación que tenga permisos para ver y editar fotos o acceder al sistema de archivos donde se almacenan las fotos podría cambiar estos datos. Los datos EXIF, modificar / acceder / crear tiempos , etc. no son inmutables.

Siempre será especulativo cómo podría cambiarse o si una aplicación de terceros (por ejemplo, otra aplicación de fotografía más allá de la aplicación estándar) agregó datos EXIF cuando no se esperaba que se agregaran. Como @Mark Buffalo señaló en esta respuesta, hay tantos lugares a lo largo de la línea o factores que podrían afectar la presencia o los cambios en los metadatos. A menos que esté tratando con firmada e información de fecha y hora, no tiene ninguna garantía razonable sobre la procedencia de los datos.

    
respondido por el Eric G 04.01.2016 - 02:58
fuente

Lea otras preguntas en las etiquetas