小心圖片泄露你的信息

【美博園2012.10.23】本文由freebuf作者jly@12 mm翻譯。收集目標的數據信息是一個相當有效的攻擊方式。通常典型的攻擊情形中都會 以一個長時間偵察過程開始的。這種｢偵察｣是指以任何方式收集特定對象的信息。我們可以從在線網站，或者通過社會工程的經典行為中獲取信息。在線信息收集 世界各地參與社群網站人們的信息，這些社群網站如Facebook, Twitter……

在社群網路中，人們在網路中上傳自己的圖片，並開始維護自己的虛擬圖片，可能與現實世界中的圖片不一樣，也可能與現實世界的圖片相似。
在本文中，我們應該看到這些雙人物的社會影響，以及他們是如何能導致虛榮心的膨脹，同時也應該考量如何可以影響人的生活和地理位置的風險。
該文章有人介紹了相關的工具用於執行圖片信息的偵探。
例如Twitter,Facebook等的社群網站，都是利用人類的虛榮心。2000年綜合強調全球性擔心的問題，例如在虛擬宇宙中存在某些東西控制我們 的生活，GPS晶片植入人類的皮膚….然而事實是不是一些東西在控制著我們的生活，而是我們自己輕率地發送各種個人信息，並試圖將這些作為虛擬宇宙的一些 特別的東西。
一個典型的例子通過社群網路信息泄露
在上圖中，我們可以收集大量間接有關的人的下落的信息。
Mr.XYZ在8小時前在Annamalai國際大酒店，這個地方叫｢Pondicherry｣，並他正在使用的Windows手機，很明顯顯示該界面圖片來自從Facebook。
可能的攻擊情況是：
這是一個合理有效的假設，此人使用他的移動設備正在檢查電子郵件，並訪問其他在線帳戶。假設我是他社群網站上的朋友。通過社會工程學攻擊，我可利用其習慣 獲取信息，並通過監測該網站的種子獲取其他個人更新信息。另外，由於在他的個人資料中存在郵件ID信息，我可發送一個惡意的郵件給他，從而竊取他的憑據。 上述圖片信息只是一個例子。

EXIF 數據與圖片
智能手機和數位相機（包括掃瞄器）使用標準格式記錄圖片和聲音。
該標準被稱為可交換圖片文件格式（即EXIF）。該信息包括有關細節的相機型號，快門速度，焦距等。最重要的是其圖片中包含GPS信息。默認情況下，幾乎所有的智能手機都有激活的GPS數據。相機設置要求用戶在初始設置中設置。
人們往往不記得擦去他們拍攝的每一張照片的GPS定位數據。因此，GPS信息幾乎嵌入在所有拍攝的圖片。
社會和安全問題
有時承諾一位不願透露姓名的駭客進行匿名採訪時，往往是沒有效果的。因為任何在接受記者採訪時上傳的圖片，可能有助於讓檢查員的GPS定位跟蹤圖片進行調查。那些在網站上發布圖片時，往往不會記得將隱藏在圖片的EXIF數據信息與圖片進行剝離。

有了這些背景介紹，讓我們使用一些工具嘗試從圖片中提取元數據。
1：Jeffrey的Exif查看器
工具類型：在線

相關鏈接：https://regex.info/exif.cgi

這是一款最基本的EXIF數據查看器。它顯示了相機圖片的規格。從工具中獲取的信息告訴了我們拍攝圖片時的日期和時間。這個信息是非常重要的，如果我們要 找到一個丟失的相機屬於某個特定的人。如果我們有一個公共網際網路上的圖片的EXIF數據的資料庫，那麼我們可以通過比較主人的形象和被盜的圖片可以找到丟 失的相機。

2：EXIFDATA.COM

工具類型：在線
網址：https://exifdata.com

此在線工具提供了很多細節，比如說他可以發現圖片是從iphone4上拍的，高度寬度等等。

下面的這種圖片中，我們可以看到拍攝圖片的地理定位信息。如前所述，如果智能手機是默認設置，開通了GPS功能，那當拍攝圖像的時候，圖像就會被嵌入地理信息（如經緯度、海拔高度等），因此，在一張圖片上可能會找到一個罪犯的準確位置！

3：opanda IExif工具
工具類型：免費軟體

下載網址：https://www.opanda.com/en/iexif/index.html

Opanda IExif 是一款跨多個平台的數位照片 EXIF 信息查看軟體。它功能強大，外觀淡雅，信息齊全，不但能對本機上的數位照片文件進行查看，而且可以作為 IE 瀏覽器上的外掛程式調用，更發布了專門針對風靡全球的 Firefox 瀏覽器專用擴展件，實在是數位攝影師，愛好者和圖片編輯不可或缺的好幫手。
使用方法很簡單，安裝完成後，重新啟動所有的文件窗口和網頁瀏覽器窗口，找出要查看的本地圖片文件，或網頁中的數位照片，用滑鼠右鍵點擊圖片或文件，選擇｢查看 EXIF/GPS/IPTC 信息｣這個選項即可。
如果你使用的是 Firefox 瀏覽器，則在安裝了 Opanda IExif 軟體本身之後，還需要在 Firefox 里安裝一下 IExif for Firefox 這個擴展件。擴展件的具體安裝方法可以參考 Firefox 官方標準的安裝方法。安裝後重啟，即可使用上面相同的方法查看了。
補充：這個工具的好處是可以刪除圖像上附屬的一些數據。

結論：
在這篇文章中，我們已了解了如何查看圖片的隱藏信息。毫無疑問，隱藏的數據可總結成一句真理：｢一張圖片勝過千言萬語。｣正如許多人花時間在公共網際網路上 放一個新的圖片，就會無意識地透露自己的信息。惡意的用戶可上網找到很多信息，使你陷入麻煩並侵犯你的隱私。因此程序上傳的介面應該刪除圖像的相關信息， 用戶的隱私就不會被侵犯了。

美博園註：原文有圖示在線工具，轉載時沒有引用。