Nehmen wir also an, ich habe zwei identische iPhones, beide sind das gleiche Modell und führen das gleiche iOS aus. Ich lasse dann jemanden ein zufälliges Bild von einem der Telefone ziehen, ohne mir zu sagen, von welchem es stammt. Das besagte Bild wurde von diesem Telefon vor mindestens ein paar Tagen aufgenommen. Das Foto wird dann vollständig von dem Gerät entfernt, von dem es stammt, und hinterlässt keine Spuren. Da ich Zugriff auf beide Geräte habe und daher unendlich viele Bilder zum Vergleich aufnehmen kann, gibt es eine Möglichkeit, z. B. durch Lesen der Metadaten, dass ich feststellen kann, von welchem der Telefone das neue Bild stammt, vorausgesetzt, ich hast du jeweils ein Bild?
Bearbeiten: Nehmen wir an, dass niemand versucht, die Metadaten absichtlich zu fälschen. Die Metadaten sind die gleichen wie bei der Aufnahme des Bildes. Nehmen wir auch an, dass sich zum Zeitpunkt der Aufnahme des Fotos beide Geräte SEHR nahe beieinander befanden.
Außerdem ist das oben beschriebene Szenario nicht hypothetisch. Ich versuche das tatsächlich, und ich habe zwei iPhone SEs, mit denen ich arbeiten kann. Aber ich habe die rohen Metadaten durchgesehen und habe Probleme, Felder zu finden, die mit zwei Fotos übereinstimmen, von denen ich weiß, dass sie aus derselben Quelle stammen, die auch nicht mit einem Foto aus einer anderen Quelle übereinstimmen.
Nochmals bearbeiten: Ich habe festgestellt, dass (zumindest die meisten) Apple-Geräte keine Seriennummer oder andere eindeutige Unterscheidungsmerkmale speichern, um absolut zu sagen, dass zwei Fotos genau von demselben Gerät stammen. Ich habe jedoch Leute darüber sprechen hören, dass aufgrund der sehr geringen Unterschiede in jedem Chip anhand des tatsächlichen Fotos festgestellt werden kann, dass zwei Bilder mit demselben Gerät aufgenommen wurden. Weiß jemand mehr darüber?
Wie andere gesagt haben, gibt es keine definitive Möglichkeit zu beweisen , dass ein Bild von einem bestimmten Gerät stammt. Alle Beweise müssen gesammelt, berücksichtigt und korreliert werden, um zu einer wahrscheinlichen Antwort zu gelangen. Dazu gehören Metadaten, Timing-Informationen, GPS-Koordinaten, Objektiv- und Sensoreigenschaften sowie Komprimierungseinstellungen.
Ob man eine vernünftige Vermutung anstellen kann, hängt von den jeweiligen Bildern und Geräten ab, die beteiligt sind. Es ist nützlich, die Übung mit den bereitgestellten Bildern durchzugehen, um den Prozess zu demonstrieren. Um die Diskussion zu vereinfachen, beziehe ich mich auf Bild A, Bild B und Bild U, die jeweils mit dem entsprechenden Gerät aufgenommen wurden.
Die Geräte sind nicht identisch. Auf Gerät A ist iOS 9.3.5 installiert. Auf Gerät B ist iOS 10.1.1 installiert. Auf Gerät U ist außerdem iOS 9.3.5 installiert.
Angenommen, Sie hätten die Bilder kurz nach der Aufnahme hochgeladen, wurden Bild A und U beide mit Geräten aufgenommen, die eine Betriebszeit von etwa 27 Stunden hatten. Bild B wurde mit einem Gerät mit einer Betriebszeit von etwa 107 Stunden aufgenommen. Basierend auf der Betriebszeit könnte ich vermuten , dass Bild U etwa 16 Sekunden nach Bild A aufgenommen wurde.
Basierend auf den Zeitstempeln wurde Bild U etwa 17 Sekunden nach Bild A aufgenommen. Bild B wurde 19 Tage vor beiden aufgenommen. Dies ist natürlich an sich bedeutungslos, und Zeitstempel sind oft falsch. In Kombination mit Verfügbarkeitsinformationen korrelieren Image U und Image A jedoch eng miteinander.
Ich habe die DQT jedes Bildes untersucht. Die DQT bestimmt die "Qualität" der JPEG-Komprimierung. Interessanterweise war es für Bild A und B identisch, aber anders für Bild U. Nicht hilfreich.
Wenn ich die Geräte besäße, könnte ich versuchen, mehrere helle und dunkle Flatfield-Bilder mit mehreren Einstellungen aufzunehmen. Vielleicht würden Objektivausrichtung, Lichtmuster (Vignettierung), Hot Spots, "Rausch"-Muster oder Staubflecken eines der Geräte verraten. Leider ist dies für viele Bilder wahrscheinlich nicht hilfreich, da das Motiv diese Merkmale oft verdeckt.
Hätte ich eine große Anzahl von Bildern miteinander zu korrelieren, könnte ich versuchen, sie basierend auf GPS-Daten zu kartieren. Bilder, die zusammen gruppiert sind, sind wahrscheinlicher miteinander verwandt. Es ist sehr unwahrscheinlich, dass Bilder, die gleichzeitig weit voneinander entfernt aufgenommen wurden, mit demselben Gerät aufgenommen wurden.
Ich würde auch Bildinhalte untersuchen, wie Personen oder Sehenswürdigkeiten. Dies würde helfen, Bilder zusammenzufassen und GPS-Daten zu bestätigen.
Wenn ich nun bedenke, was ich gelernt habe, muss ich entscheiden, wie zuversichtlich ich in meiner Schlussfolgerung bin. Angesichts der Tatsache, dass das dargestellte Szenario keine Tricks beinhaltet, bin ich ziemlich zuversichtlich, dass Gerät U = Gerät A ist .
Auch hier ist nichts davon endgültig, und ich kann ein drittes Gerät C nicht ausschließen , oder sogar, dass Gerät A = Gerät B. Letzteres ist jedoch unwahrscheinlich, da dies bedeuten würde, dass iOS heruntergestuft wurde.
Schwieriger als das, wonach Sie suchen: Jeder Festkörpersensorchip hat seine eigenen Unregelmäßigkeiten - leichte Unterschiede in der Pixelempfindlichkeit und so weiter. Ein forensischer Analyst kann anhand einiger Bilder, von denen bekannt ist, dass sie von jeder Kamera stammen, eindeutig sagen, welche Kamera ein anderes Bild erzeugt hat. AFAIK funktioniert dies auch dann, wenn nur die JPG-Ausgabe verfügbar ist, vorausgesetzt, die spezifischen Komprimierungsparameter sind bekannt.
Offenbar gibt es keinen standardisierten EXIF-Eintrag für Hardware-Seriennummern. Zwei identische Kameramodelle erzeugen mehr oder weniger dieselben standardisierten EXIF-Daten. Kameras speichern jedoch manchmal eine Seriennummer oder andere eindeutige Hardware-Identifikationsinformationen im Abschnitt "Herstellerhinweise" der EXIF-Daten. Der Abschnitt „Herstellernotizen“ enthält vom Hersteller definierte Felder, die nicht speziell standardisiert sind, so wie der Rest der EXIF-Daten, die nicht in den „Herstellernotizen“ enthalten sind, standardisiert ist. Sie können es möglicherweise mit einem EXIF-Viewer finden, der "Maker Notes"-Informationen zusammen mit den standardisierten EXIF-Feldern anzeigt. Wenn Sie einen HEX-Editor verwenden oder ein kurzes Programm schreiben, können Sie möglicherweise auch die Informationen anzeigen, wenn sie vom Hersteller bereitgestellt werden.
Beachten Sie, dass die meisten Adobe-Produkte (Lightroom, Photoshop, Camera Raw, DNG-Konverter) einen Großteil der „Maker Notes“-Informationen aus den EXIF-Informationen entfernen, wenn sie zum Konvertieren oder Exportieren einer Bilddatei verwendet werden. Adobe-Produkte ignorieren auch die „Maker Notes“-Informationen, wenn sie EXIF-Informationen aus einer Bilddatei anzeigen, die diese enthält.
Jemand hat bereits 2005 einen Beitrag auf der DPReview-Website darüber geschrieben, in dem die meisten Kommentatoren ihren relativen Mangel an Wissen über den Abschnitt "Notizen machen" der EXIF-Informationen teilten.
exiftool
, auf die ich zufällig sofort zugreifen kann) leisten ziemlich gute Arbeit beim Extrahieren der Seriennummer aus den herstellerspezifischen EXIF-Daten - -SerialNumber
wenn Sie exiftool
.Vielleicht nicht das, wonach Sie suchen, aber wenn Sie bereits mit jedem Telefon ein Beispielfoto gemacht haben, können Sie einen Hinweis erhalten, indem Sie sich die normalerweise in den Metadaten gespeicherte fortlaufende Nummer ansehen.
Ich habe keine iPhone-Muster, aber es könnte mit Digitalkameras funktionieren, funktioniert am besten, wenn die beiden Einheiten eine deutlich unterschiedliche Verschlussanzahl haben.
Ich habe kein Apple-Gerät, daher weiß ich nicht, wie die EXIF-Daten aussehen, aber unter der Annahme, dass in den Herstellernotizen keine Identifizierungsmarkierung vorhanden ist und Sie die fotografischen Daten analysieren müssten, ist dies ein Problem, das eine Alphabet-Agentur hat würde einem forensischen Experten ein 6-stelliges Gehalt zahlen, um das herauszufinden. Es ist auch möglich, dass Apple eine Art Wasserzeichen in die Komprimierung einbettet und diese Daten nur den Strafverfolgungsbehörden zur Verfügung stehen. Tatsächlich wäre ich überrascht, wenn es so etwas nicht gäbe.
Einfache Antwort: Nein.
Ich besitze 3 iPhone 7 und bin Metadaten-Spezialist.
Sie können dies jedoch über den von Carl Witthoft beschriebenen forensischen Ansatz herausfinden.
Philipp Kendall
MikeD
Das Elementar der Zerstörung