照片发布前的 EXIF・GPS 检查
发布照片前,不仅要确认图片中可见的内容,也要确认文件内部保存的信息。
其中代表性的就是 EXIF。
EXIF 中可能包含拍摄日期和时间、相机或手机型号、镜头信息、方向、编辑软件,有时还包括 GPS 位置信息。
匿名发布照片时,即使隐藏了脸或姓名,只要 EXIF 中残留位置信息或拍摄日期和时间,日常活动范围和行动时间就可能显现。
本文整理发布照片前如何确认 EXIF、GPS、拍摄日期和时间,以及可见线索。
EXIF 和 GPS 本身的基础知识,会在“EXIF 和 GPS 信息基础”中介绍。
什么是 EXIF
EXIF 是保存于照片文件中的拍摄信息。
用手机或数码相机拍摄的图片,可能会附带与拍摄有关的技术信息。
| 信息 | 内容 | 匿名性上的注意点 |
|---|---|---|
| 拍摄日期和时间 | 拍摄照片的日期和时间 | 与行动时刻或发布时间关联 |
| 型号名 | 手机、相机、镜头 | 成为所持设备的线索 |
| GPS | 纬度、经度、高度 | 直接显示拍摄地点或日常活动范围 |
| 方向和尺寸 | 图片方向、分辨率 | 成为编辑或拍摄环境的线索 |
| 编辑软件 | 加工使用的应用 | 成为工作环境或设备的线索 |
并不是所有图片都有 EXIF。
社交媒体和消息应用可能会在上传时删除部分元数据。
但是,哪些信息会被删除,会因服务和设置而不同。
不要认定“这个服务应该会帮我删除”,而要在发布前自己确认。
GPS 信息会成为特别强的线索
在 EXIF 中,GPS 信息是特别强的线索。
纬度和经度会直接显示拍摄地点。
如果在住处、工作地点、学校、常去的店、医院、车站、活动会场等地方拍摄的照片中残留 GPS,日常活动范围可能会原样显现。
| 拍摄地点 | 可能显现的内容 |
|---|---|
| 住处周边 | 居住地区或日常活动范围 |
| 工作地点或学校 | 所属关系或通勤、通学地点 |
| 医院或咨询地点 | 个人情况 |
| 活动会场 | 参加的活动和时间 |
| 旅行地 | 移动历史或同行者推测 |
GPS 不会因为正文写得含糊而消失。
即使正文写着“东京某处”,如果图片文件中残留准确坐标,也没有意义。
拍摄日期和时间也会被用于关联
即使没有 GPS,拍摄日期和时间也很重要。
拍摄日期和时间会与发布时间、移动时间、活动时间、工作时间、学校活动等关联。
例如,假设有人匿名发布某个活动的照片。
如果图片中残留拍摄日期和时间,发布时间也很接近,背景中又拍到会场的一部分,就会成为缩小当时谁在场的材料。
EXIF 不一定单独指向本人。
但是,它与照片背景、发布内容、账号、发布时间组合后会变强。
删除 EXIF 后,可见线索仍会留下
删除 EXIF 或 GPS,并不意味着照片就安全。
照片外观本身也有线索。
| 可见线索 | 示例 |
|---|---|
| 背景 | 招牌、建筑物、车站、店名、窗外 |
| 反射 | 镜子、玻璃、金属、屏幕反射 |
| 人物 | 脸、服装、名牌、制服、随身物品 |
| 文字 | 文件、通知、白板、配送标签 |
| 视频、Live Photos 等 | 声音、环境音、前后动作、地名 |
删除元数据是必要的。
但是,这只是照片确认的一部分。
在匿名性中,要同时确认“文件内部的信息”和“图片中拍到的信息”。
发布前要确认的事项
发布照片前,按以下顺序确认。
| 顺序 | 确认事项 | 理由 |
|---|---|---|
| 1 | 查看是否有 EXIF | 确认拍摄信息是否残留 |
| 2 | 查看 GPS 信息 | 确认拍摄地点是否残留 |
| 3 | 查看拍摄日期和时间 | 确认是否会与发布时间或行动时刻关联 |
| 4 | 查看型号名 | 确认所持设备或工作环境是否暴露 |
| 5 | 查看图片外观 | 确认背景、反射、文字、人物 |
| 6 | 删除后再次确认 | 确认处理是否成功 |
重要的是,不仅删除前要确认,删除后也要确认。
有些工具或应用只会删除一部分信息。
此外,编辑或重新保存也可能附加别的元数据。
常见的照片发布失败
EXIF 和 GPS 的失败不一定来自特殊攻击。
只要把手机拍的照片原样发布,就可能发生。
| 失败 | 会发生什么 |
|---|---|
| 把在家拍的照片原样发布 | GPS 或背景会暴露日常活动范围 |
| 活动刚结束就发布照片 | 拍摄日期和时间与发布时间会暴露参加情况 |
| 共享在工作地点或学校拍的照片 | 所属关系或行动范围会被推测 |
| 图片编辑后不确认 | 编辑软件名或更新时间会残留 |
| 以为社交媒体会删除 | 没有确认各服务的删除范围 |
例如,假设有人用匿名账号发布一张照片,写成“今天发现的风景”。
正文中没有写地名。
但是,如果 GPS 残留,拍摄地点就会被知道。即使 GPS 已经消失,拍摄日期和时间、背景招牌、建筑物、车站名、天空亮度、发布时间组合起来,也会把地点和时间缩小到相当具体的范围。
在匿名性中,要看的不是是否删除了某一项信息,而是残留的信息能组合到什么程度。
不要过度相信服务方的自动删除
社交媒体和消息应用可能会在上传时删除元数据。
这很方便,但不能把匿名性完全交给它。
| 注意点 | 说明 |
|---|---|
| 删除范围因服务而异 | GPS 可能消失,但其他信息可能残留 |
| 规格会变化 | 过去会删除的信息,不保证一直都会删除 |
| 上传处理前已经交出 | 原文件可能到达服务方 |
| 发布后难以确认 | 发布后副本和保存会扩散 |
| 可见信息不会消失 | 背景、反射、文字、人物会留下 |
低风险的日常发布中,服务方的自动处理有时也足够。
但是,在匿名活动、信源保护、内部举报,以及不想让家人或工作单位知道的发布中,应在上传前本地确认。
用于确认的官方工具
确认 EXIF 和 GPS 的代表性本地工具是 ExifTool。
ExifTool 是可以确认包括图片在内的多种文件格式元数据的工具。官方网站可以查看支持格式、标签列表、使用方法和更新信息。
URL : https://exiftool.org/
从匿名性角度看,重点在于它可以在本地确认,而不必把文件上传到外部网站。
不过,使用 ExifTool 并不会自动让文件变安全。
需要读取显示的信息,删除不必要的信息,并在删除后再次确认。
高风险照片也可以选择不发布
照片是信息量很大的媒体。
EXIF、GPS、背景、反射、人物、随身物品、服装、影子、天气、拍摄角度、画质,都可能包含各种线索。
加工和删除可以降低风险,但未必能安全去除所有线索。
涉及信源、内部举报、抗议活动、家庭情况、儿童照片、工作地点或学校的照片时,不发布也是一种对策。
在匿名性中,不只要思考“怎么删除”,也要思考“是不是最好不要发出”。
总结
EXIF 是照片文件中会残留的拍摄信息。
它可能包含拍摄日期和时间、型号名、编辑软件、GPS 信息等。
尤其是 GPS 信息,是直接显示拍摄地点或日常活动范围的强线索。
匿名发布照片时,即使从正文中删除地名,如果图片文件中残留坐标,匿名性也会变弱。
不过,删除 EXIF 并不会删除照片外观中残留的信息。
背景、反射、招牌、脸、服装、文字、通知也要确认。
发布照片前,应把 EXIF、GPS、拍摄日期和时间、外观、删除后的再次确认作为一套流程执行。
相关工具
Google Lens
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://lens.google/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。