Российская компания «ЭлкомСофт» обнаружила уязвимость в системе проверки аутентичности фотографий Canon Original Data Security, предназначенной для подтверждения подлинности изображений, сделанных зеркальными цифровыми фотокамерами Canon. Данная уязвимость позволяет извлечь ключ подписи из цифрового фотоаппарата Canon, и с помощью этого ключа добавить подпись, подтверждающую достоверность, в фотографию или любое другое цифровое изображение, которое затем будет признано подлинным и аутентичным при проверке.
Обнаруженная уязвимость ставит под сомнение подлинность всех фотографических улик и опубликованных изображений, имеющих цифровую подпись Canon, а также делает непригодной всю систему проверки аутентичности Canon Original Data Security.
Компания Canon начала использовать свою собственную систему Original Data Security как средство для надежной проверки подлинности изображения и доказательства его аутентичности. Многие цифровые зеркальные фотоаппараты Canon могут подписывать сделанные ими фотографии особой цифровой подписью. Данные, необходимые для подтверждения оригинальности изображения, встраиваются в каждый снимок, сделанный фотоаппаратом, что позволяет проводить проверку подлинности и оригинальности изображения с предельной точностью. Однако, результаты недавнего исследования, проведенного компанией ЭлкомСофт, которая является лидером в информационной безопасности, показали, что дело обстоит иначе.
Система проверки аутентичности Original Data Security разработана для обеспечения подтверждения того, что изображения, снятые совместимыми фотоаппаратами Canon, являются неизменными и содержат подлинные метаданные, включая действительные данные GPS. Данная система была спроектирована для доказательства оригинальности изображения, а также времени и места съемок. Основной задачей системы являлась защита целостности изображений, снятых в качестве улик. Согласно официальному заявлению компании Canon, достоверность фотографических улик напрямую связана с законностью принятия легальных решений. На данный момент система защиты данных Canon широко используется главными новостными агентствами во всем мире, а также страховыми компаниями и юридическими фирмами для проверки подлинности фотографий.
Тем не менее, «ЭлкомСофт» смогла извлечь ключи для подписи из цифровых фотоаппаратов Canon, использовать эти ключи для подписи измененных изображений и успешно подтвердить достоверность фальшивых фотографий с помощью пакета Canon Original Data Security Kit (OSK-E3).
«Доказана непригодность всей системы проверки подлинности изображения», - говорит исполнительный директор компании ЭлкомСофт Владимир Каталов. «Сложно переоценить значимость нашей находки. Гарантия подлинности снимков, утверждаемая системой защиты данных компании Canon в действительности бесполезна. Если компания смогла произвести фальшивые фотоснимки, неотличимые от оригиналов, как можем мы быть уверены, что другие не делали этого в течение многих лет? Компания «ЭлкомСофт» показала, что любая фотографическая улика, подтвержденная системой Canon, не защищена, равно как и любой другой не защищенный данной системой снимок”.
«Элкомсофт» опубликовала ряд отредактированных изображений, которые легко проходят проверку подлинности с помощью пакета Canon Original Data Security Kit (http://www.canon.co.jp/imaging/osk/osk-e3/index.html ). Снимки можно посмотреть на странице http://canon.elcomsoft.com/
Источник: CyberSecurity
|