Facebook rimuove i metadata Exif IPTC dalle foto scaricate tramite Messenger

Fino ad oggi, nelle foto che si inviano tramite Messenger non comparivano i metadati in chiaro, come quelli Exif riguardanti la posizione [Geotag, IPTC], ma scaricandole ed analizzandole con un tool forense o di analisi dei metadati come Exiftool, si potevano osservare alcuni campi come SpecialInstructions e CurrentIPTCDigest. Scaricando una stessa foto ADESSO (stasera 22/02/2020), ma ricevuta giorni fa, non compare più alcuna stringa come valore e non compaiono più quei campi, come potete notare dall'esempio seguente. Sono inoltre variati la data di caricamento (date ipotetiche tipo 2012, 2009) ed il nome del file, come se ora Facebook consentisse di scaricarla da una posizione diversa. L'evento è riferito e riguarda soltanto foto scattate con un dispositivo fisico (smartphone, fotocamera, etc.), in cui è presente un GPS e potrebbe inviare dati con Geotag, ma non screenshot, in cui non sono mai apparsi i campi SpecialInstructions e CurrentIPTCDigest. Questa è l'analisi di una foto inviatami alcuni giorni fa, scattata da un cellulare e scaricata ieri:

E questa è l'analisi della stessa foto scaricata stasera:

Ricordiamo che il funzionamento dell'invio di un'immagine su Messenger è questo: io scatto una foto con il cellulare e la invio su Messenger, in quello stesso momento viene caricata (e molto probabilmente archiviata segretamente sui server Facebook), mentre una sua copia compressa (per necessità di spazio) e senza metatadati identificativi viene istantaneamente creata ed inviata al destinatario.

Come si poteva notare, i metadati IPTC venivano rimossi, ma appariva una stringa nel campo CurrentIPTCDigest ed una in SpecialInstructions. L'ultimo era un valore di 10 gruppi da 4 bytes [esclusi i riempimenti di 0000 e l'inizio FBMD (FaceBook Metadata) e le prime cifre quasi uguali per ogni foto]. Chiaramente la stringa "hidden" SpecialInstructions rappresenta ad ogni modo una forma di tracking da parte del Social Network, per le foto in cui rimane, ovvero quelle caricate nel proprio profilo Facebook, anche se da quelle inviate tramite Messenger è stata rimossa. Analizziamo ora il "tag structuring" dei metadata di un'immagine.

1. ProfileID e ProfileDateTime sono valori uguali in ogni foto, di qualsiasi profilo utente che ho confrontato, e sono, rispettivamente, 29f83ddeaff255ae7842fae4ca83390d e 2009:03:27 21:36:31 (in alcuni casi ho trovato invece 2012:01:25 03:41:57); 2. CurrentIPTCDigest e SpecialInstructions sono stati rimossi dalle foto ricevute su Messenger, anche in precedenza, e scaricate dal 22 febbraio 2020, ma, mentre il Digest non è reversabile, è potenzialmente "decriptabile" e traslabile in chiaro la stringa di SpecialInstructions, vedendola come valore di 4 bytes*10, composto da combinazioni di numeri da 0 a 9 e lettere a-f; le ipotesi in merito all'espressione di significato di questi due valori possono essere molte: personalmente non credo che siano metadati riconducibili ad una posizione geografica o ad info sul dispositivo utilizzato per scattare la foto, in formato criptato, ma una forma codificata di dati che identifica univocamente un'immagine sui server Facebook; una sorta di Watermark embedded nelle immagini, per poter risalire all'iniziale proprietà di una foto e stabilire se sono avvenuti infrangimenti di Copyright, abusi di varia natura caricando foto vietate dal regolamento di Facebook, etc. Tutto ciò sarebbe in ogni caso un preciso tracciamento delle attività dei singoli utenti. 3. gli altri metadati sono relativi soltanto al formato dell'immagine, i colori, etc., ma nessuna informazione sensibile (sensitive information). Osservate ora questo codice in PHP presente su GitHub

Esso dimostra come sia possibile inserire dei dati a piacere come valori dei parametri elencati e di cui è stata fatta una mappatura degli array. Cosa che indubbiamente rappresenta un problema.

Cosa avrà spinto gli sviluppatori di Facebook a rimuovere quei 2 campi proprio ora, anni dopo averli inseriti, e a modificare la sorgente da cui le foto vengono scaricate? Forse paura di Data Leaks, che avrebbero teoricamente consentito di accedere ad informazioni sensibili per ogni utente?

E' assurdo pensare che esista un url, magari in origine rappresentato in parte dalla stringa del valore di SpecialInstructions, dove sono conservate informazioni identificative di ogni utente, magari in grado di permettere un tracking anche al di fuori della piattaforma Facebook? Ho fatto in tempo ad effettuare alcune prove, inserendo quella stringa in vari modi, così da formulare un url completo; non è apparso nulla, ma il caso strano è che proprio dopo aver fatto ciò, non è stato più possibile scaricare la stessa foto [ricevuta giorni prima] con gli stessi metadata, nome file e la medesima data. Quale pensate che fosse la funzione del valore SpecialInstructions?