小心图片泄露你的信息

美博园2012.10.23】本文由freebuf作者jly@12 mm翻译。收集目标的数据信息是一个相当有效的攻击方式。通常典型的攻击情形中都会 以一个长时间侦察过程开始的。这种“侦察”是指以任何方式收集特定对象的信息。我们可以从在线网站,或者通过社会工程的经典行为中获取信息。在线信息收集 世界各地参与社交网站人们的信息,这些社交网站如Facebook, Twitter……

在社交网络中,人们在网络中上传自己的图片,并开始维护自己的虚拟图片,可能与现实世界中的图片不一样,也可能与现实世界的图片相似。
在本文中,我们应该看到这些双人物的社会影响,以及他们是如何能导致虚荣心的膨胀,同时也应该考虑如何可以影响人的生活和地理位置的风险。
该文章有人介绍了相关的工具用于执行图片信息的侦探。
例如Twitter,Facebook等的社交网站,都是利用人类的虚荣心。2000年综合强调全球性担心的问题,例如在虚拟宇宙中存在某些东西控制我们 的生活,GPS芯片植入人类的皮肤….然而事实是不是一些东西在控制着我们的生活,而是我们自己轻率地发送各种个人信息,并试图将这些作为虚拟宇宙的一些 特别的东西。
一个典型的例子通过社交网络信息泄露
在上图中,我们可以收集大量间接有关的人的下落的信息。
Mr.XYZ在8小时前在Annamalai国际大酒店,这个地方叫“Pondicherry”,并他正在使用的Windows手机,很明显显示该界面图片来自从Facebook。
可能的攻击情况是:
这是一个合理有效的假设,此人使用他的移动设备正在检查电子邮件,并访问其他在线帐户。假设我是他社交网站上的朋友。通过社会工程学攻击,我可利用其习惯 获取信息,并通过监测该网站的种子获取其他个人更新信息。另外,由于在他的个人资料中存在邮件ID信息,我可发送一个恶意的邮件给他,从而窃取他的凭据。 上述图片信息只是一个例子。

EXIF 数据与图片
智能手机和数码相机(包括扫描仪)使用标准格式记录图片和声音。
该标准被称为可交换图片文件格式(即EXIF)。该信息包括有关细节的相机型号,快门速度,焦距等。最重要的是其图片中包含GPS信息。默认情况下,几乎所有的智能手机都有激活的GPS数据。相机设置要求用户在初始设置中设置。
人们往往不记得擦去他们拍摄的每一张照片的GPS定位数据。因此,GPS信息几乎嵌入在所有拍摄的图片。
社会和安全问题
有时承诺一位不愿透露姓名的黑客进行匿名采访时,往往是没有效果的。因为任何在接受记者采访时上传的图片,可能有助于让检查员的GPS定位跟踪图片进行调查。那些在网站上发布图片时,往往不会记得将隐藏在图片的EXIF数据信息与图片进行剥离。

有了这些背景介绍,让我们使用一些工具尝试从图片中提取元数据。
1:Jeffrey的Exif查看器
工具类型:在线

相关链接:http://regex.info/exif.cgi

这是一款最基本的EXIF数据查看器。它显示了相机图片的规格。从工具中获取的信息告诉了我们拍摄图片时的日期和时间。这个信息是非常重要的,如果我们要 找到一个丢失的相机属于某个特定的人。如果我们有一个公共互联网上的图片的EXIF数据的数据库,那么我们可以通过比较主人的形象和被盗的图片可以找到丢 失的相机。

2:EXIFDATA.COM

工具类型:在线
网址:http://exifdata.com

此在线工具提供了很多细节,比如说他可以发现图片是从iphone4上拍的,高度宽度等等。

下面的这种图片中,我们可以看到拍摄图片的地理定位信息。如前所述,如果智能手机是默认设置,开通了GPS功能,那当拍摄图像的时候,图像就会被嵌入地理信息(如经纬度、海拔高度等),因此,在一张图片上可能会找到一个罪犯的准确位置!

3:opanda IExif工具
工具类型:免费软件

下载网址:http://www.opanda.com/en/iexif/index.html

Opanda IExif 是一款跨多个平台的数码照片 EXIF 信息查看软件。它功能强大,外观淡雅,信息齐全,不但能对本机上的数码照片文件进行查看,而且可以作为 IE 浏览器上的插件调用,更发布了专门针对风靡全球的 Firefox 浏览器专用扩展件,实在是数码摄影师,爱好者和图片编辑不可或缺的好帮手。
使用方法很简单,安装完成后,重新启动所有的文件窗口和网页浏览器窗口,找出要查看的本地图片文件,或网页中的数码照片,用鼠标右键点击图片或文件,选择“查看 EXIF/GPS/IPTC 信息”这个选项即可。
如果你使用的是 Firefox 浏览器,则在安装了 Opanda IExif 软件本身之后,还需要在 Firefox 里安装一下 IExif for Firefox 这个扩展件。扩展件的具体安装方法可以参考 Firefox 官方标准的安装方法。安装后重启,即可使用上面相同的方法查看了。
补充:这个工具的好处是可以删除图像上附属的一些数据。

结论:
在这篇文章中,我们已了解了如何查看图片的隐藏信息。毫无疑问,隐藏的数据可总结成一句真理:“一张图片胜过千言万语。”正如许多人花时间在公共互联网上 放一个新的图片,就会无意识地透露自己的信息。恶意的用户可上网找到很多信息,使你陷入麻烦并侵犯你的隐私。因此程序上传的接口应该删除图像的相关信息, 用户的隐私就不会被侵犯了。

美博园注:原文有图示在线工具,转载时没有引用。

这里是你留言评论的地方

9 + 6 =

【您可以使用 Ctrl+Enter 快速回复】

Copyright © 2007 - 2017 , Design by 美博园. 版权所有. 【回到顶部】