0x00 什么是 Exif?

• Exif（Exchangeable image file format）中文名称是“可交换图像文件格式”

• 专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据

• Exif 可以被附加在 JPEG、TIFF、RIFF 等文件之中，为其增加有关数码相机拍摄信息的内容和缩略图或图像处理软件的一些版本信息

0x01 提取 Exif

Kali 里自带一个叫 Exif 的软件，用法很简单，只需要输入 Exif 加图片路径就可以了。

网上也有不少在线的 Exif 查看器，由于 Exif 包含像焦距、模式、曝光等参数，摄影爱好者们用获取到的 Exif 来学习摄影。

0x02 可能有什么风险?

风险来自于 Exif 泄漏的信息，这就得说说 Exif 里面会包括什么信息了。

除了上面提到的焦距、模式、曝光等对我们没什么用的参数外，Exif 会泄漏像摄影器材型号（现在最常见的还是手机）、拍照时间甚至地理位置信息。这些信息在使用社会工程学的老手的手上的威力可不容小覷。

0x03 我们可能会从哪里泄漏 Exif？

笔者不太用社交软件（宅），也没有 Iphone 实验机（穷），所以仅有测试安卓下的QQ、微信、instagram 三款软件。

这里直接先说一下结果，QQ 和微信的结果一样，发送非原图会泄露包括摄影器材型号、时间等信息，而发送原图的话还会泄露地理位置信息（在开启 GPS 并授权给相机定位权限的前提下）。instagram 则是一点信息都没有泄露～

QQ & 微信 非原图

QQ & 微信 原图

P.S. 为了我的个人隐私，这里我使用的是不包含地理位置信息的照片，请见谅。不过我已经测试过有地理位置的照片，的确能读到。

instagram

0x04 防范办法

1. 关闭 GPS
2. 不授予相机定位权限
3. 尽量别在网络上上传未经处理的图片（原图）
4. 伪造 Exif（太麻烦了～）

0x05 总结

还是那句老话，你永远不知道在网络上和你聊天的那个家伙是人是狗。这句话在防范社会工程学上的确有很大的作用。

看吧，没骗你们，这篇真的是浅谈～

0x06 参考

1. 微信原图泄露的只能是 Exif ，你的隐私不在这！！！ - cxmyDev
2. Exif - wiki