Эксперимент: проверяем, что интересного можно узнать из метаданных фотографий в Интернете

В файле с фотографией зачастую содержится информация об обстоятельствах съемки — в том числе и геометка. Что происходит с этой информацией, когда фотография попадает в Интернет?

Эксперимент: проверяем, что интересного можно узнать из метаданных фотографий в Интернете

Старомодный обычай подписывать фотографии в бумажных альбомах претерпел разительную перемену. В наше время уже не требуется снабжать снимок комментарием самостоятельно — за вас это сделают камера (особенно смартфона или планшета), приложение, в котором вы его обрабатывали, а вдобавок еще и интернет-сервис, на который вы свое фото загрузили.

Такая подпись в своем роде не менее информативна, чем «Новый год у бабушки, 2016». Кроме всяких скучных технических параметров кадра вроде фокусного расстояния и режима вспышки в файл могут записываться модель и серийный номер камеры, дата съемки и, что важно, географические координаты места, в котором сделана фотография. Вдобавок сервис, на который вы загружаете фото, запомнит и ваш IP-адрес.

В общем, не обязательно быть законченным параноиком, чтобы обеспокоиться: ведь по всем этим данным вас довольно несложно выследить и узнать, например, какие еще фотографии сделаны вами, а затем найти среди них, допустим, компрометирующие.

Поиск метаданных в файлах фотографий — одно из звеньев доксинга (англ. «doxing», от «docs»), ставшей уже весьма популярной практики сбора сведений об интересующем человеке в интернет-источниках в тех или иных целях.

Один из главных «коллекционеров» метаданных — блок EXIF, добавляемый к графическим файлам. Стандарт Exchangeable Image File Format разработан Японской ассоциацией электронной и ИТ-индустрии JEITA, его первая версия была опубликована в 1995 году. EXIF предназначен для графических форматов JPEG и TIFF. Файлы других популярных форматов, таких как PNG и GIF, тоже могут содержать подобные метаданные — в частности, по стандарту XMP, разработанному Adobe. Кроме того, производители камер используют собственные форматы метаданных, отчасти дублирующие EXIF.

«Забытые» в файлах с фотографиями метаданные не раз выходили боком авторам или действующим лицам снимков. Один из самых ярких примеров — арест Джона Макафи в Гватемале в 2012 году. Скрываясь от следствия по делу об убийстве его соседа, Макафи дал интервью изданию Vice, проиллюстрированное фотографией. Метаданные этого снимка и «сдали» Джона Макафи: геометка, обнаружившаяся в файле снимка, помогла правоохранителям найти и схватить беглеца.

Давайте же разберемся, как обращаются с метаданными в файлах изображений современное программное обеспечение для обработки фотографий и различные сетевые сервисы: стирают ли они потенциально опасные метки или оставляют их в файле?

Эксперименты

Для начала поразмыслим, какие вообще возможны сценарии приключений фотографии в Сети и на каких этапах может возникнуть угроза приватности:

  1. Вы отправляете фотографии по электронной почте или загружаете в облачное хранилище вроде Google Drive или Dropbox. В этом случае файл остается в неизменном виде, и пользователи, с которыми вы этими файлами поделитесь, при желании все метаданные увидят.
  2. Вы загружаете фотографии в соцсети и фотохостинги. В этом случае вероятно выполнение условий, создающих угрозу приватности: а) вы вообще не знаете про метаданные файлов; б) вы тем более не знаете, что ваш сервис их не удаляет.
  3. Вы фотографируете старинную вазу или слегка подержанный велосипед и выставляете объявление о продаже на сайте онлайн-барахолки. Дальше все как в пункте 2. 
В одном из интернет-обсуждений метаданных EXIF упомянута история в духе «у меня от этого друг умер». То есть друг, конечно, жив, но, если верить рассказчику, хороший велосипед у друга все же украли — вскоре после размещения в Интернете объявления о его продаже.

Ну что ж, самое время перейти к экспериментам — проверить популярные интернет-сервисы на предмет того, что они делают с EXIF. Для этого мы использовали плагин для браузера Firefox — Exif Viewer 2.00. Плагин показывает метаданные изображений на веб-страницах и локальном компьютере, интегрирован с картографическими сервисами для отображения места съемки и показывает встроенные миниатюры.

Кстати, можете самостоятельно поэкспериментировать с теми сервисами, до которых у нас не добрались руки, — это чрезвычайно просто и довольно увлекательно.

cianru-exif-bad-realtor-ru

exif-thumbnail-ru

facebook-metadata-ru

Недлинный путь от фото в интернете к месту в реальном мире

Недлинный путь от фото в Интернете к месту в реальном мире

Вот что показала наша инспекция:

  • Facebook, Twitter, «ВКонтакте» — метаданные из фотографий удаляют;
  • Google+ — не удаляет;
  • Instagram — удаляет;
  • Flickr, Google Photo, Tumblr — не удаляют;
  • eBay, Craigslist — удаляют;
  • ЦИАН — не удаляет.
Кстати, с помощью геометок на ЦИАН можно вычислять нечестных риэлтеров, размещающих в объявлении фотографии других квартир (конечно, если они не удалили EXIF самостоятельно)

Кстати, с помощью геометок на ЦИАН можно вычислять нечестных риелторов, размещающих в объявлении фотографии других квартир (конечно, если они не удалили EXIF самостоятельно)

Сервисы из тех, что не удаляют метаданные, имеют, как правило, настройку конфиденциальности, позволяющую отключить их отображение. Но именно отображение: сервис все равно может эти данные сохранить отдельно. И эта тема заслуживает отдельного обсуждения.

Так и запишем

Например, именно так поступает Facebook. Убедиться в этом весьма просто — достаточно воспользоваться штатной функцией загрузки копии своих данных. Пройдя несложную процедуру, вы получаете архив, содержащий помимо прочего загруженные в соцсеть фотографии вместе с аннотацией в виде HTML-файла. В эту аннотацию входят и координаты места съемки, и IP-адрес, с которого фотографии отправлялись.

Так выглядят метаданные фотографий в архиве пользовательских данных Facebook

Так выглядят метаданные фотографий в архиве пользовательских данных Facebook

Список хранимых Facebook пользовательских данных есть в справочной системе соцсети.

Взглянуть на взаимодействие правоохранительных органов и соцсети с непривычной стороны позволяет появившаяся в Сети инструкция, в которой описывается процедура запроса у Facebook данных пользователей. В качестве автора документа, опубликованного на сайте netzpolitik.org, указан сотрудник Департамента шерифа Сакраменто. Это уже вторая версия руководства: обновление потребовалось из-за модификации механизма архивирования пользовательских данных, произведенной Facebook, отмечается в самом документе.

Подробности взаимодействия госорганов и онлайн-сервисов в части персональных данных выходят за рамки этой заметки. Наше же дело — просто предупредить вас о том, что соцсети сохраняют значительно больше данных о фотографиях, чем может показаться, — и в определенных обстоятельствах могут ими поделиться с другими людьми.

За кадром — самое интересное

Кстати, в метаданных хранится не только текстовая информация, но и миниатюра той картинки, в которой они содержатся. И иногда проблемы могут возникать с ними.

Знакомясь с историей EXIF, мы натолкнулись на один примечательный случай. В 2003 году американская телеведущая Кэтрин Шварц (Catherine Schwartz) разместила в блоге свои безобидные, казалось бы, фотографии. Однако в метаданных этих файлов хранились миниатюры оригинальных снимков, показывающие полное изображение до процедуры кадрирования. И да, на двух из них Шварц предстала в обнаженном виде.

Но ведь с тех пор прошло больше десяти лет, разработчики наверняка уже совладали с очевидной угрозой приватности, так ведь? Что ж, невредно будет проверить — просто на всякий случай.

Испытав Adobe Photoshop Express, GIMP, Windows Paint, Microsoft Office Picture Manager, IrfanView и XnView, мы удостоверились: при редактировании изображения миниатюра обновляется.

Еще одним подопытным стал редактор Corel PHOTO-PAINT последней версии X8. Внезапно выяснилось: при сохранении JPG-файла миниатюра не обновляется, показывая хоть и в уменьшенном виде, но исходное изображение!

Есть в PHOTO-PAINT функция подготовки изображения для публикации в Сети (Export For Web). Возможно, хотя бы эта операция подчистит метаданные, подумали мы, — но нет.

В общем, опыт Кэтрин Шварц может быть воспроизведен и в наше время. Для справки: Corel PHOTO-PAINT позиционируется как «передовой фоторедактор» и «профессиональное приложение».

Чтобы исключить возможность ошибки в самом файле, из-за которой редактор не может обновить миниатюру, мы повторили опыт среди прочего на файлах с зеркальной камеры, смартфона и образцовом графическом файле с пингвинами из Windows 7.

Слева — значок файла, который "Проводник" Windows берет из метаданных, справа — предпросмотр файла. Файл свежесозданный, так что дело отнюдь не в кеширование иконок операционной системой — да и Exif Viewer подтвердил подозрения

Слева — значок файла, который «Проводник» Windows берет из метаданных, справа — предпросмотр файла. Файл свежесозданный, так что дело отнюдь не в кешировании иконок операционной системой, да и Exif Viewer подтвердил подозрения

Цитата в тему http://bash.im/quote/397770

Рекомендации

Чтобы не «засветить» вместе с фотографиями что-то лишнее, не предназначенное для чужих глаз, предлагаем подборку самоочевидных, в общем-то, советов.

  1. Отключайте сохранение местоположения на устройстве (только для камеры или для всех приложений сразу).
  2. Удаляйте метаданные из файлов перед публикацией в Сети. Например, это умеет делать бесплатный для личного некоммерческого использования XnView. А вот встроенный в Windows механизм «Удаление свойств и личной информации» (вызывается в окне свойств файла на вкладке «Подробно») на поверку оставляет и миниатюру, и блоки EXIF.
  3. Удалять метаданные фотографий перед отправкой в Сеть можно и прямо на мобильном устройстве. Вот, например, приложения для iOS, Android и Windows Phone.
  4. В настройках приватности сетевых сервисов запретите им сохранять метаданные фотографий.

Самый хардкор для тех, кому действительно есть что терять: вовсе не отправляйте в Сеть фотографии и данные, которые могут пригодиться вашим недоброжелателям. То есть не публикуйте вообще ничего такого, что в определенных обстоятельствах может быть использовано против вас.

Forrester назвал «Лабораторию Касперского» лидером в области защиты рабочих мест

Проведённый Forrester экспертный анализ рынка систем безопасности для рабочих мест показывает, что данный сегмент рынка продолжает оставаться жёстко конкурентным.

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.