¿Puedo saber si dos fotos fueron tomadas exactamente por el mismo dispositivo?

9

Entonces, digamos que tengo dos iPhones idénticos, ambos son del mismo modelo y tienen el mismo iOS. Luego procedo a que alguien saque una imagen aleatoria de uno de los teléfonos sin decirme de dónde vino. Dicha foto fue tomada por ese teléfono en algún momento que fue al menos hace unos días. La foto se elimina completamente del dispositivo desde el que se originó, sin dejar rastro. Dado que tengo acceso a ambos dispositivos y, por lo tanto, puedo tomar un número infinito de imágenes en cada uno para compararlos, ¿hay alguna manera, como al leer los metadatos, de que puedo decir de cuál de los teléfonos proviene la nueva imagen dado que yo tener una foto de cada uno?

Editar: supongamos que nadie está tratando de falsificar deliberadamente los metadatos. Los metadatos son los mismos que cuando se tomó la fotografía. Supongamos también que, en el momento en que se tomó la foto, ambos dispositivos estaban muy cerca uno del otro.

Además, ese escenario que describí anteriormente no es hipotético. Realmente estoy tratando de hacer eso, y tengo dos iPhone SE para trabajar. Pero he examinado los metadatos sin procesar y tengo problemas para encontrar campos que coincidan con dos fotos que sé que provienen de la misma fuente y que tampoco coinciden con una foto de una fuente diferente.

Edite de nuevo: he determinado que (al menos la mayoría) los dispositivos Apple no almacenan un número de serie o cualquier otro tipo de distintivos definitivos para decir absolutamente que dos fotos provienen del mismo dispositivo exacto. Sin embargo, he escuchado a personas hablar sobre cómo, debido a las diferencias muy leves en cada chip, se puede determinar a partir de la foto real que dos imágenes fueron tomadas por el mismo dispositivo. ¿Alguien sabe más sobre esto?

metadata forensics El elemental de la creación
fuente
2
¿Está interesado en escenarios en los que alguien está tratando de falsificar deliberadamente el resultado, o solo en imágenes "prístinas" de los dispositivos?
Philip Kendall
Si pudiera proporcionar muestras de las dos imágenes, nos ayudaría. Algunos usan herramientas EXIF ​​y algunos de nosotros somos programadores que podrían hacerlo en código.
MikeD
Tres imágenes etiquetadas por su dispositivo. Dispositivo? Significa que vino de uno de los dos, pero hipotéticamente no sé cuál. En este caso, sé con cuál lo tomé, pero eso es porque acabo de tomar estas fotos. drive.google.com/drive/folders/…
The Elemental of Creation

Respuestas:

2

Como han dicho otros, no hay una forma definitiva de demostrar que una imagen proviene de un dispositivo en particular.  Toda la evidencia tiene que ser reunida, considerada y correlacionada para llegar a una respuesta probable . Esto incluye metadatos, información de tiempos, coordenadas GPS, características de lentes y sensores, y configuraciones de compresión.

Si uno puede llegar a una conjetura razonable depende de las imágenes y dispositivos particulares involucrados.  Es útil realizar el ejercicio con las imágenes proporcionadas para demostrar el proceso. Para simplificar la discusión, me referiré a la Imagen A, Imagen B e Imagen U, cada una tomada con el dispositivo correspondiente.

  • Los dispositivos no son idénticos.  El dispositivo A tiene iOS 9.3.5 instalado. El dispositivo B tiene iOS 10.1.1 instalado. El dispositivo U también tiene iOS 9.3.5 instalado.

  • Suponiendo que haya subido las imágenes poco después de tomarlas, las imágenes A y U se tomaron con dispositivos que tenían un tiempo de actividad de aproximadamente 27 horas. La imagen B se tomó con un dispositivo con un tiempo de actividad de aproximadamente 107 horas. Según el tiempo de actividad, podría suponer que la imagen U se tomó unos 16 segundos después de la imagen A.

  • Según las marcas de tiempo, la imagen U se tomó aproximadamente 17 segundos después de la imagen A. La imagen B se tomó 19 días antes que cualquiera de ellos. Por supuesto, esto no tiene sentido en sí mismo, y las marcas de tiempo a menudo son incorrectas. Sin embargo, combinado con información de tiempo de actividad, la Imagen U y la Imagen A se correlacionan estrechamente entre sí.

  • Examiné el DQT de cada imagen. El DQT determina la "calidad" de la compresión JPEG. Curiosamente, fue idéntico para la Imagen A y B, pero diferente para la Imagen U. No fue útil.

  • Si tuviera posesión de los dispositivos, podría intentar tomar múltiples imágenes de campo plano claras y oscuras en múltiples configuraciones. Quizás la alineación de la lente, los patrones de luz (viñetas), los puntos calientes, los patrones de "ruido" o las motas de polvo regalarían uno de los dispositivos. Desafortunadamente, para muchas imágenes, es poco probable que esto sea útil porque el tema a menudo enmascarará estas características.

  • Si tuviera una gran cantidad de imágenes para correlacionar entre sí, podría intentar mapearlas según los datos del GPS. Las imágenes que se agrupan tienen más probabilidades de estar relacionadas entre sí. Es muy poco probable que las imágenes tomadas muy separadas al mismo tiempo se hayan tomado con el mismo dispositivo.

  • También examinaría el contenido de la imagen, como personas o puntos de referencia. Esto ayudaría a agrupar imágenes, así como a corroborar los datos del GPS.

Ahora, teniendo en cuenta lo que he aprendido, tengo que decidir qué tan seguro estoy en mi conclusión. Teniendo en cuenta que el escenario presentado no implica engaño, estoy bastante seguro de dispositivo U = Un dispositivo .

Una vez más, ninguno de los anteriores es definitivo, y no puedo descartar un tercer Dispositivo C , o incluso que el Dispositivo A = Dispositivo B. Aunque este último es poco probable porque eso significaría que iOS había sido degradado.

xiota
fuente
El objetivo no era REALMENTE hacerlo en las fotos de prueba. El objetivo era determinar en función de una nueva foto tomada al azar en un dispositivo que podría haberse reiniciado. Básicamente, cualquier metadato que implique tiempo se volvería completamente irrelevante en esta situación. También la ubicación del GPS sería irrelevante. Y aunque iOS puede determinar que un solo dispositivo no tomó la foto, el objetivo era poder decir definitivamente que un dispositivo específico SÍ. Empezaste a mencionar técnicas para determinar las conexiones específicas de dispositivos a fotos, pero ahora cómo lo harías.
The Elemental of Creation
Como afirmo, nada de esto es definitivo. Toda esta información tiene que ser recopilada y correlacionada para determinar la confianza en una conclusión. En este caso, 3/6 de los puntos que examiné coincidieron. Dos son imposibles de realizar, y uno no fue concluyente. Al realizar el ejercicio, demuestro concretamente los pasos que tendrías que tomar, y que en este caso, existe una correlación razonable entre A y U. De lo contrario, estaría saludando y diciendo que no es posible, como todos. más.
xiota
Además, la ubicación gps simplemente se puede desactivar, por lo que es un método poco confiable. Por lo que puedo decir, cualquier cosa que tenga que ver con los metadatos no podrá probar definitivamente nada debido al hecho de que los metadatos podrían ser eliminados (eliminados, no reemplazados con información falsa) y que los metadatos simplemente pueden estar equivocados. Debido a que el iPhone no aplica ningún tipo de identificador único a las fotos, los metadatos están fuera de discusión. El análisis de la imagen en sí parece ser la única forma. Sería muy apreciado si pudiera elaborar más sobre eso.
The Elemental of Creation
Toma todos los datos que puede y los correlaciona entre sí. No puede colgar su sombrero en una sola pieza de información potencialmente espuria. Si hay metadatos disponibles, entonces deberían usarse. Por ejemplo, si agrupar las fotos en un mapa muestra que las imágenes se tomaron a cientos de kilómetros de distancia al mismo tiempo, es poco probable que se hayan tomado con el mismo dispositivo, aunque dicha información puede ser falsa. Pero eso va en contra de los supuestos de la pregunta.
xiota
1
En cuanto a tomar fotos de campo plano, no estoy seguro de qué decir al respecto, aparte de que tomas un montón de fotos de campos iluminados y oscuros con iluminación difusa en diferentes configuraciones. Puede encontrar viñetas de lente, polvo, puntos calientes o patrones de "ruido" del sensor. Luego buscas esas mismas características en las fotos. Sin embargo, tampoco es definitivo porque los sujetos fotográficos tienden a oscurecerlos. Además, la corrección de lentes funciona porque la mayoría de las diferencias entre los mismos modelos de sensores y lentes están fuera de nuestra capacidad de detección.
xiota
5

Más difícil de lo que busca: cada chip de sensor de estado sólido tiene sus propias irregularidades: ligeras diferencias en la capacidad de respuesta de los píxeles, etc. Un analista forense, dado un par de imágenes conocidas de cada cámara, puede decir inequívocamente qué cámara produjo cualquier otra imagen. AFAIK esto funciona incluso cuando solo está disponible la salida JPG, suponiendo que se conozcan los parámetros de compresión específicos.

Carl Witthoft
fuente
55
¿Puedes vincular a más información? Me encantaría entender cómo un analista forense puede decir inequívocamente si una imagen determinada fue producida por una cámara determinada o no.
youcantryreachingme
3
Tengo dudas de que esto sea posible con solo una muestra de cada cámara. Fuertes dudas.
Myridium
Creo que probablemente una opción sería comparar el ruido en áreas oscuras. Probablemente necesite una foto en negro como referencia.
Rafael
El ruido de @Rafael por su naturaleza será diferente de un disparo a otro, por lo que no veo cómo sería útil.
Mark Ransom
1
@MarkRansom No todo el ruido se crea igual. =) En este caso, el ruido de lectura y el ruido de patrón se consideran formas de ruido en la señal, pero no son precisamente aleatorios. El ruido del patrón es un sesgo estático en la imagen, debido a las peculiaridades de cada chip sensor individual. Los patrones únicos en este ruido actúan como una huella digital para cada sensor.
scottbb
1

Tal vez no sea lo que está buscando, pero si ya ha tomado una imagen de muestra con cada teléfono, puede obtener una pista mirando el número progresivo que generalmente se almacena en los metadatos.

No tengo muestras de iPhone, pero podría funcionar con cámaras digitales, funciona mejor si las dos unidades tienen un recuento de obturadores significativamente diferente.

clabacchio
fuente
0

Aparentemente no hay una entrada EXIF ​​estandarizada para el número de serie del hardware. Dos modelos idénticos de cámara producirán más o menos los mismos datos EXIF ​​estandarizados. Pero las cámaras a veces guardan un número de serie u otra información de identificación de hardware única en la sección "notas del fabricante" de los datos EXIF. La "sección de notas del fabricante" tiene campos definidos por el fabricante que no están específicamente estandarizados de la misma forma que el resto de los datos EXIF ​​que no están en las "notas del fabricante". Es posible que pueda encontrarlo con un visor EXIF ​​que muestre información de "notas del fabricante" junto con los campos EXIF ​​estandarizados. Usar un editor HEX o escribir un programa corto también puede permitirle ver la información si la incluye el fabricante.

Tenga en cuenta que la mayoría de los productos de Adobe (Lightroom, Photoshop, Camera Raw, convertidor DNG) eliminan gran parte de la información de "notas del fabricante" de la información EXIF ​​cuando se utilizan para convertir o exportar un archivo de imagen. Los productos de Adobe también ignoran la información de "notas del fabricante" cuando se muestra información EXIF ​​de un archivo de imagen que la contiene.

Alguien hizo una publicación en 2005 en el sitio web de DPReview sobre el tema en el que la mayoría de los comentaristas compartían su relativa falta de conocimiento sobre la sección "tomar notas" de la información EXIF.

Pulpo
fuente
55
Si bien esto es técnicamente cierto, la mayoría de las herramientas EXIF ​​normales (incluidas Lightroom y exiftoollas dos a las que tengo acceso instantáneo) hacen un trabajo bastante bueno al extraer el número de serie de los datos EXIF ​​específicos del fabricante, -SerialNumbersi está utilizando exiftool.
Philip Kendall
Suena un poco como una violación de privacidad para el fabricante poder identificar cámaras específicas a partir de datos EXIF ​​(en algunos casos podrían saber a quién se vendió esa cámara / quién la trajo para reparaciones) ... sabemos cuáles incrustar esto?
thomasrutter
0

No tengo un dispositivo Apple, así que no sé cómo se ven los datos EXIF, pero suponiendo que no haya un marcador de identificación en las notas del fabricante y que tenga que analizar los datos fotográficos, este es un problema que una agencia alfabética le pagaría a un experto forense un salario de 6 cifras para averiguar. También es posible que Apple esté incorporando algún tipo de marca de agua en la compresión, y estos datos solo estarán disponibles para las fuerzas del orden. De hecho, me sorprendería si no hubiera algo como esto.

Bodhi1
fuente
También es posible que Apple esté incorporando algún tipo de marca de agua en la compresión . Eso se llama esteganografía . Me sorprendería si Apple estuviera haciendo algo así. Se han manifestado firmemente a favor de los derechos de privacidad de los usuarios y no han accedido a ninguna demanda de "claves de cifrado de puerta trasera" para la aplicación de la ley en ningún otro elemento de sus productos. Y el problema con ocultar cualquier señal en la compresión de imágenes es que es increíblemente difícil preservar esa información (tal vez imposible) si la imagen se edita y se vuelve a comprimir.
scottbb
0

Respuesta simple: no.

Tengo 3 iPhone 7 y soy especialista en metadatos.

Aunque puede descubrirlo a través del enfoque forense descrito por Carl Witthoft.

Texxi
fuente
¿Puede proporcionar en respuesta algo más sobre este enfoque forense?
Romeo Ninov
No puedo describirlo mejor que Carl Witthoft. Soy mecánico, no científico forense, señor.
Texxi