Фотографии с Твиттера «заговорили» в руках хакеров / Информационная безопасность / Хабрахабр

Фотографии с Твиттера «заговорили» в руках хакеров

И не всегда то, что фотография может «сказать», будет приятно ее владельцу. В общем, речь пойдет о давно наболевшей проблеме — неосторожности пользователей Интернета и утечке личной информации. Дело в том, что большое количество новых моделей сотовых оснащены функцией геотаггинга, и как-то очень немного людей, которые понимают потенциальную опасность этой функции. На вчерашней конференции хакеров Next HOPE один из участников рассказал, что он проанализировал более 2,5 миллионов фото, вывешенных пользователями сервиса Twitter, и более 65 тысяч из них оказались помечены координатами.

Вроде бы человек, который покупает современный сотовый, должен понимать, что функция геотаггинга для того и предназначена, чтобы показывать наше текущее местоположение. Как оказалось, большинство владельцев мобильных устройств с этой функцией даже не задумывается о потенциальной опасности утечки личной информации.

Как это работает? Да весьма просто, при получении снимка сотовый получает координаты текущего местоположения пользователя и добавляет эти данные в метаданные EXIF снимка. При этом все мы знаем, какого рода снимки вывешиваются пользователями Твиттера. Некоторые постят ну очень личные фотографии, желая остаться при этом анонимными.

Смешно звучит, но тот самый хакер с конференции продемонстрировал снимок мужчины, который является анонимным пользователем Твиттера. Снимок никак нельзя назвать «семейным» или «добропорядочным». При этом хакер смог по данным снимка определить адрес, телефон и имя этого мужчины. Как оказалось, у того даже есть жена, которая вряд ли будет обрадована подобным «творчеством».

В общем, о неосторожности и глупости можно рассуждать вечно, и хакер не стал долго распространяться на эту тему. Взамен он представил созданный им ресурс ICanStalkU.com, где анализируются снимки с главной страницы ресурса twitpic.com. Рядом с уменьшенным изображением снимка показывается ник пользователя, плюс информация о текущем местоположении этого пользователя. Таким простым образом демонстрируется, сколько же еще неосторожных людей, которые даже не подозревают о том, что их фото просто кричат «я нахожусь в таком-то месте».

Сервис даже конвертирует координаты в адреса, названия улиц и городов (по возможности, конечно). Основой сервиса служит хитрый скрипт на Perl.

Цель сайта, по словам его создателя, «напугать пользователей», заставить их думать и принимать решение — нужно ли, что бы любой человек мог узнать, где вы находитесь в данный момент. Ведь отключить функцию геотаггинга так просто, но мало кто это делает, даже если и опасается утечки подобной информации.

Понятно, что способ определения координат по метаданным снимка давно не новость для большинства членов хабрасообщества (если это вообще когда-либо было новостью). Хотелось просто продемонстрировать интересный сервис и в очередной раз предупредить — ~~курить вредно~~ будьте бдительны!

Вот первоисточник.

+124

17 июля 2010, 16:26

marks

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (86)

NRJ 17 июля 2010, 16:34 #

Надо просто сделать, чтобы функция определения координат по умолчанию была отключена. Или при первом снимке на новом телефоне появлялось уведомление, мол, желаете ли добавлять координаты к снимкам или нет.

borisko 17 июля 2010, 16:39 # ↑

Или чтобы твиттер и прочие вырезали эту информацию.

+10

cybery4k 17 июля 2010, 16:41 # ↑

Но сохраняли эту инфу в банках данных, для служб, которые нельзя называть.:)

borisko 17 июля 2010, 16:44 # ↑

Это уже про вконтакт ;)

LIAL 17 июля 2010, 18:00 # ↑

Ага вы еще это гуглу скажите :) Нас всех уже давно «считают», а мы в этом еще и помогаем

hooey 17 июля 2010, 19:11 # ↑

Вконтактик вырезает, кстати.

esc 17 июля 2010, 22:48 # ↑

А он разве оригиналы фоток показывает? Там походу просто ресайзится все и при ресайзе данные не окпируются, вряди вконтакте специально что-то там вырезает.

zitter 18 июля 2010, 15:59 # ↑

специально. раньше копировались =)

melksoft 17 июля 2010, 19:18 # ↑

Нет, вырезать не нужно. Если я хочу запостить фотки из путешествия, то определенно нужно оставлять координаты в EXIF. Нужно только чтобы пользователи понимали, что такое геотегинг.

grinka 19 июля 2010, 20:19 # ↑

Бывает, что хочется/требуется указать, где именно был сделан снимок. И геотаг в этом плане — вещь чрезвычайно удобная.

Vizzy 17 июля 2010, 17:24 # ↑

В большинстве телефонов так и происходит, в частности айфоны и андроиды при первом запуске твитера всегда спрашивают, разрешаете ли вы ему записывать ваше местоположение.

ZogG 17 июля 2010, 19:16 # ↑

надо просто думать прежде, чем что-то постить. я думаю отключи геотагинг, будут еще полно способов найти реальную инфу о человеке. просто если ты постишь что-то в интернет, бери за это ответственость

zitter 18 июля 2010, 16:02 # ↑

звонок: приветлюкятвойотецнетвремениобьяснятьГДЕТЫ! =) результат не 100% но тоже шанс есть =)

megaweber 17 июля 2010, 19:38 # ↑

Айфон вроде спрашивает, когда программа хочет использовать информацию о географическом местоположении

Xaegr 17 июля 2010, 19:49 # ↑

Хотите использовать геотаггинг?
Уверены что хотите отправлять данные через gprs?
Вы точно хотите передать данные которые вы ввели в эту форму вебсерверу?
Желаете подключиться к этому оператору GSM? Он сможет узнать ваше местоположение?
…
Вам это ничего не напоминает? В современных телефонах функций — тьма, и просто задавать вопрос про каждую из них (даже при первом использовании) не выход. Это просто приведет к тому что пользователи будуть нажимать Yes на такие предупреждения не читая. Как собственно они и делают со всеми подобными предупреждениями.

Menjoy 17 июля 2010, 20:09 # ↑

Прочитайте еще раз комментарий на который ответили, там написано что уведомление появляется «при первом снимке», т.к. когда человек еще будет знакомиться с аппаратом он вряд ли будет нажимать везде ОК не подумал, или я так хорошо подумал о пользователях?

Xaegr 17 июля 2010, 20:52 # ↑

Первый снимок, первое сообщение, первый заход на сайт, первый… То есть чтобы пользоваться нормально аппартом надо ответить на кучу назойливых вопросов выскакивающих в разные моменты. Может тогда просто после включения аппарата выдавать пользователю экран настроек и не выпускать из него пока он не дернет каждую опцию?

Menjoy 17 июля 2010, 20:57 # ↑

Вот вы сейчас абсолютно эгоистично отнеслись к людям, которые не знают об определенных технологиях или функциях, и вообще, возможно, впервые пользуются определенным видом техники.

В таком случае проще при первом включении телефона, под определенной симкой, спрашивать у человека о его уровне пользователя, т.к. нужны ему всякие предупреждения или нет, с возможность последующего отключения в настройках этих подсказок и советов, там же нужно прикрепить небольшое соглашение, чтобы отказавшись от подсказок человек потом не качал прав от которых отказался.

Xaegr 17 июля 2010, 21:03 # ↑

«Вот вы сейчас абсолютно эгоистично отнеслись к людям»
А вы не считаете издевательством спрашивать у нормального человека при фотографировании/отправке сообщения «Хотите ли вы использовать ジオターゲティング ?» Причем этот вопрос будет задаваться 1 раз.

«спрашивать у человека о его уровне пользователя»
Как вы думаете что ответят начинающие пользователи?
Если в диалоге есть кнопка advanced options — её нажмут все.
Если спросить пользователя какой интерфейс он хочет: простой или для профессионалов, большинство выберет второй, особенно те кто первый раз работает с приложением.

«там же нужно прикрепить небольшое соглашение, чтобы отказавшись от подсказок человек потом не качал прав от которых отказался»
Почему то такие соглашения тоже никто не читает… Как юридическая отмаза конечно годится, но мы же вроде о благе пользователей думаем?

Menjoy 17 июля 2010, 21:09 # ↑

Всегда казалось, что если человека спрашивают о чем-то неизвестном, то он все таки поинтересуется о сущности предлагаемой функции.

Видимо в таком случае стоит включать в мануал такой пункт как «Все функции, которые могут открыть доступ к вашим личным данным для других пользователей, отключены по умолчанию.», в итоге — пользователь предупрежден, юридически тоже все честно и правильно. Вот на запад слова о «личных данных» как-то более убедительно влияют, нежели на нас :)

Xaegr 17 июля 2010, 21:24 # ↑

> если человека спрашивают о чем-то неизвестном, то он все таки поинтересуется о сущности предлагаемой функции
Это в основном касается гиков. Если обычный человек видит какое то сообщение когда он делает фотку, всё что он хочет — избавиться от сообщения и сделать еще одну фотку.
Тем более не очень то удобно на многих смартфонах гуглить какое то название из диалога не закрывая его.
>юридически тоже все честно и правильно
Ну как бы практически всегда в лицензионных соглашениях о таких вещах говорится. Ничего нового тут нет.
>Вот на запад слова о «личных данных» как-то более убедительно влияют, нежели на нас
Какая разница как они влияют если базы сотовых операторов сливаются направо и налево и никому за это ничего не бывает? :)

Menjoy 17 июля 2010, 21:33 # ↑

Ну зачем же заставлять человека гуглить определенную функцию? Не проще ли в диалоге сбоку разместить пиктограмму со знаком вопроса, которая при обращении нам любезно опишет функцию :)

Базы сотовых операторов сливаются везде и всюду, но все же сочетание «личные данные» беспокоит пользователей :)

Xaegr 17 июля 2010, 21:35 # ↑

Угу, мне фотку надо еще сделать, а тут меня еще чего то читать заставляют? Где кнопка закрыть то?

Бессмысленное беспокойство плохо для нервов :)

Menjoy 17 июля 2010, 21:41 # ↑

Так то ж при первом фотографировании, которое вы будете делать при знакомстве с фотоаппаратом :)

В общем, на эту тему можно беседовать бесконечно и продуктивно :)

Xaegr 17 июля 2010, 21:43 # ↑

Ааа… Так вы про фотоаппарат… Я почему то подразумевал какой нибудь смартфон, для которого фотографирование — лишь одна из многих функций. И многие из этих функций могут передавать информацию которая может быть личными данными :) И как сказал в самом начале — выдавать предупреждение для каждого такого действия (даже 1 раз) лишь разозлит пользователя.

Menjoy 17 июля 2010, 21:52 # ↑

Упс, написал «фотоаппарат» потому что искал чехол для своего :) Опечатка в общем, имел в виду конечно же телефон :)

Stalker_RED 17 июля 2010, 22:37 # ↑

вы сторонник кнопки «сделайте мне зашибись», если я правильно понял.
но беда в том, что до телепатии техника пока не дошла. а до того будут или множество вопросов, или настройки «по умолчанию» которыми всем не угодишь.

zitter 18 июля 2010, 16:06 # ↑

тут ты несовсем прав. одно дело использовать услугу/еще что-то которая непреднамеренно выдать информацию о вас, другое дело когда это можно обойти/отказаться:
Вы действительно хотите передать данные о вашей кредитке по незащищенному соединению? Предлагаем перейти на https версию сайта

zitter 18 июля 2010, 16:07 # ↑

неправ в том что сколько бы таких сообщений не было бы — они нужны. Если их не читает пользователь — его проблемы — его предупреждали. Таки удалить файл или не надо?

+17

denism7 17 июля 2010, 16:39 #

Хорошо что авторы анекдотов про Николая Валуева не выкладывают своих фотографий.

torsion 17 июля 2010, 17:27 # ↑

Может быть изначально выкладывали…

lany 17 июля 2010, 18:11 # ↑

Ну что вы, Валуев на самом деле добрый :-)
www.fightnews.ru/content/nikolay-valuev-posle-poezdki-v-metro-prishlos-pit-uspokoitelnoe

–21

porzione 17 июля 2010, 17:24 #

Как-то это смахивает на script kiddie — существует масса библиотек для всех популярных языков, которые обрабатывают exif. Передать координаты геокодеру, например через google maps api и… какие тут хитрости? ;)
Все вместе, включая выборку обновлений с twitter (flickr, picasa, etc.) уложится в сотню-другую строк, причем код можно скопипастить с примеров по api. О том, что надо подумать перед выкладыванием фото с гео тэгами, уже давно сказано не раз. Тот же flickr предупреждает, предлагая даже вырезать эти данные.
А человек на конфе типа хакер :/

tzlom 17 июля 2010, 18:09 # ↑

ага, он хакер, ибо написал это, оформил в виде сервиса и выложил, а потом пошёл на конференцию и рассказал об этом
а не хмыкнул себе под нос «ха, да это сделает каждый нуб»

–7

porzione 17 июля 2010, 18:18 # ↑

Ну да, только он далеко не первый это сделал, можете погуглить. А тем, кто постит фото с тэгами, эта конфа не поможет

SmartBye 17 июля 2010, 18:12 # ↑

Что в вашем понимании хакер?

–4

porzione 17 июля 2010, 18:23 # ↑

Перефразируя википедию скажу, что это «исследователь подробностей», что он с полученными знаниями потом делает — другой разговор. Что исследовал этот человек?
В лучшем случае человек на фото это популяризатор знаний, такие люди есть и от науки, в этом нет ничего зазорного, тк дело нужное и хорошее, но учеными таких людей не называют.

DnV 17 июля 2010, 19:54 # ↑

Так он и исследовал «подробности». Не обязательно для этого быть «учёным» )

deniamnet 19 июля 2010, 01:48 # ↑

Вы беситесь, что это не Вы написали, а он (хакер)?
беситесь, что написали не о Вас, а о нем?
ждем примера данной функции (all-in-one) в «сотню-другую строк», даже скопированного
иначе лично я буду считать Вас пустословом

–2

porzione 19 июля 2010, 10:32 # ↑

о горе, как жить мне дальше с позорным ярлыком пустослова и страшным диагнозом, что я бешусь?

deniamnet 19 июля 2010, 14:51 # ↑

с Вами все понятно

TITnet 17 июля 2010, 17:24 #

И в чём опасносте в том, что в сети будет моя фото с указанием места?

LIAL 17 июля 2010, 18:02 # ↑

А это уже зависит от обширности ваших социальных связей и ценности вас как личности. Кому то фиолетово, а кому то может оказаться очень неприятным сюрпризом

TITnet 17 июля 2010, 19:55 # ↑

И всё-таки? Если вы не нарушаете закон и т. д.?
Пока во всём треде ни слова о реальности опасности фот с указанием мест.

JerryJJ 18 июля 2010, 00:39 # ↑

Сфотографировался некто на гулянке, фотографию кто-то повесил в какой-то социльной сети. А потом вдруг оказалось, что некто по официальной версии был в это время на важном совещании в месте с совершенно другими координатами.

Cim 18 июля 2010, 00:00 # ↑

Предположим, некий человек отправляет фоту своего эрегированного пениса, желая получить лулзов и всего такого. Понятное дело, что он желает остаться анонимным, дабы избежать в дальнейшем травли. Однако, забавный телефон оставляет координаты на фотографии, и вот уже весь рунет знает какой долбоёб живёт по адресу: город Энск, улица имени Павлика Морозова дом 33, квартира 42; а так же, что жена и трое детишек будут совсем не рады узнать о двачерских похождениях мужа. Профит, лулзы и фан обеспечен половине рунета, такие дела.

TITnet 18 июля 2010, 00:24 # ↑

Я имел в виду для нормального человека. :)

grimskin 18 июля 2010, 01:55 # ↑

А в случае сферического человека в вакууме — можно узнать где он проживает и когда он отсутствует дома. Что для лиц с криминальными наклонностями весьма удобно.

НЛО прилетело и опубликовало эту надпись здесь

TITnet 18 июля 2010, 12:15 # ↑

У нормальных людей нет привычки его фотографировать и выкладывать в сеть.

Kastrulya0001 18 июля 2010, 20:53 # ↑

И еще, балерины не какают!

Bolik 17 июля 2010, 17:30 #

ох уж эти Людишки ) не волокут в очевидном. и это не только с интернетом и ИТ. Реальный случай: у моего одногруппника тетя купила дэу матиз, чтобы в сад ездить. Через какое-то время мой одногруппник как то с ней пересекся и сел за руль. Очень удачно сел, как оказалось его тетя и не подозревала что у машины есть коробка передач, и что у машины есть вторая, третья и даже четвертая скорость )) дорога в сад у нее занимала уймы времени (около 60 км), что интересно чувствовал двигатель…

LIAL 17 июля 2010, 18:03 # ↑

А как она на права то тогда сдала ???

porzione 17 июля 2010, 18:27 # ↑

Как-как — как сейчас сдает большинство %)

docomo 18 июля 2010, 12:47 # ↑

Где-то писали о том, что одна девушка так на первой новую Феррари сожгла.
Но, казалось бы, при чем здесь геотэгинг :)

–12

Nakilon 17 июля 2010, 17:32 #

Какой же там «хитрый» скрипт на перл, что читает их фотки координаты и отправляет их в какой-то геолокационный сервис, получая оттуда ответ… хакерство… ох-ох…

+13

marks 17 июля 2010, 17:38 # ↑

Этот человек заслуживает уважения уже потому, что не поленился обратить внимание пользователей Интернета на эту проблему. Он же создал интересный сервис.

Вы, быть может, во сто раз умнее его, но сервис сделал он, и за это ему плюс. А говорить «подумаешь, фигня какая» очень просто =) Любой из нас на это способен.

Nakilon 17 июля 2010, 17:40 # ↑

Меня зацепило именно слово «хитрый» )
А в важности освещения этого вопроса не сомневаюсь — сам кое-кого собираюсь теперь предупредить…

marks 17 июля 2010, 17:43 # ↑

Понял. Ну да, насчет «хитрый» я, может, и поторопился ))

baal 17 июля 2010, 17:57 #

С другой стороны, если по фотографиям найдут похищенного ребенка, это будет не так уж плохо.

MaximKat 17 июля 2010, 19:24 # ↑

А если по фотографиям педофилы найдут вашего ребенка?

AmirL 17 июля 2010, 23:10 # ↑

Они теперь ищут конкретных детей? оО

MaximKat 18 июля 2010, 01:40 # ↑

Они ищут тех кто им понравился, видимо. Например, по фотографиям выложенным в твиттере

Setti 17 июля 2010, 23:08 # ↑

Кстати, по статистике, если верить посту, геотеги встречаются в каждой 38-й фотографии.

aspel 17 июля 2010, 18:25 #

советую владельцам андроида отключить эту функцию, так как по умолчанию она включена.

ryo_oh_ki 17 июля 2010, 18:45 # ↑

В моём Acer Liquid по-умолчанию всё было отключенно, при включении в камере и в системе выскакивают предупреждения, более того через некотрое время приходит от Гугла письмо, что «геотаргетинг был включен на вашем телефоне». А пометка фотографий черезвычайна удобна когда их обрабатываешь, они прям сами на гугл-карты прыгают. :-)

JanKefir 18 июля 2010, 08:03 # ↑

У меня по умолчанию было отключено.

–24

Skye 17 июля 2010, 18:32 #

Классная статья, плюсанул, была бы карма.

Volgarastraport 17 июля 2010, 19:50 #

А на фотке сам хакер создатель сервиса? Ну ка где его координаты, за ним уже выехали:)

–3

thevery 17 июля 2010, 20:25 #

твиттер сам по себе геотеггинг поддерживает, т.е. exif особо и не нужен.
в чём суть новости, объясните, пожалуйста…

dmitriid 17 июля 2010, 22:11 #

pleaserobmyhouse, или как он там назывался, возвращается

tyomitch 17 июля 2010, 22:53 #

Ещё можно соотнести время снимка из EXIF со временем публикации, и установить часовой пояс фотографирующего.
Это параноикам не мешает?

saver_ag 18 июля 2010, 14:21 # ↑

Точность до нескольких меридианов, не зная параллели и точность до нескольких десятков метров — это немного разные вещи.

StrangeAttractor 17 июля 2010, 23:03 #

Не могу понять логику людей, которые делают то, за что им может быть стыдно, да ещё и фотографируют это.

tyomitch 17 июля 2010, 23:13 # ↑

Ещё ладно бы себе на память фотографировали, «чтоб в старости было что вспомнить», — так нет, публикуют ведь!

StrangeAttractor 18 июля 2010, 00:14 # ↑

Можно только предположить что это своеобразная форма эксгибиоционизма, и эти люди получают удовольствие от чувства стыда (ведь при этом в мозгу происходят довольно интенсивные химические процессы). В таком случае разоблачив их, мы им сделаем только ещё приятнее. Так что заботиться об анонимности здесь не вижу смысла.

Анонимность нужна там, где люди могут столкнуться с преследованием по политическим причинам, дискриминацией, и т.п. А если человек дурью мается, так пусть сам и думает о возможных последствиях, если ему надо. IMHO.

LAT85 18 июля 2010, 00:08 #

Вот более удобный сервис: www.geoimgr.com/

MaximKat 18 июля 2010, 01:45 # ↑

бот, что ли? реклама по ключевым словам «фото» и «геотаггинг»?

LAT85 18 июля 2010, 10:41 # ↑

Сам такой)

–5

MaximKat 18 июля 2010, 10:42 # ↑

Тогда причем тут этот сервис?

LAT85 18 июля 2010, 10:49 # ↑

В том сервисе нельзя посмотреть координаты любой фотки- только ленты из твиттера, а в этом можно.

gavaec 18 июля 2010, 03:02 #

когда-то смотрел flikr, там ребята поумнее. после заливки фотки с блекбери фликр удалял инфу о местоположении, хотя при фотографировании блекберина добавляла её.

denim 18 июля 2010, 03:45 #

тоже мне, хакер

Novikov 18 июля 2010, 15:32 #

Я тоже хакер. По некоторым фоткам могу восстановить адрес дома и номер автомобиля ;)

lesha_penguin 20 мая 2011, 21:48 #

В копилку идей «Стартаперам»:
1) Делаем простую программу под Айфон/Андроид которая умеет читать/писать EXIF и к геокоординатам прибавлять random+-200км
2) Добавляем в нее функцию автонахождения лица и применения «pixelize»
3) Добавляем функцию автонахождения похожего на надписи и примемение «blur»
4) Выкладываем на ЯблокоStore и ДроидМаркет
5) Постим об этом на хабр
6)…
7) PROFIT
Если у кого эта идея выгорит, потом кинете мне плюсик за идею.

Информационная безопасность