Vad är EXIF-metadata — och varför bör du bry dig?
EXIF (Exchangeable Image File Format) är en teknisk standard som bäddar in strukturerade data direkt i digitala fotofiler. Standarden utvecklades ursprungligen 1995 för att hjälpa professionella fotografer att logga fotograferingsförhållanden som slutartid och bländare, men har sedan dess utvecklats till något långt mer omfattande och potentiellt integritetskränkande. Moderna smartphones registrerar automatiskt GPS-koordinater med några meters noggrannhet, höjd över havet, kompassbäring i fotograferingsögonblicket, datum och tid med millisekunders noggrannhet, enhetens tillverkare och modell, kamerans serienummer, objektivspecifikationer, ISO-känslighet och till och med namnet på redigeringsprogrammet som användes för att efterbehandla bilden. Dessa data är osynliga när du tittar på fotot, men ändå löjligt enkla att extrahera med gratisverktyg. Risken är inte hypotetisk: i december 2012 avslöjade tidningen Vice av misstag platsen för den efterlysta programvarugrundaren John McAfee när den publicerade ett foto vars inbäddade GPS-koordinater placerade honom på en specifik plats i Guatemala. Om ett medieföretag kan läcka en plats på det här sättet, kan en helt vanlig delning göra det också.
5 verkliga integritetsrisker med EXIF-data
Farorna med EXIF-metadata är långt ifrån teoretiska. Här är fem konkreta och verkliga scenarier:
- Exponering av hemadress — foton tagna i hemmet innehåller GPS-koordinater som pekar ut din exakta adress. Ett enda foto publicerat online kan därmed avslöja precis var du bor för vem som helst som laddar ned det.
- Spårning av daglig rutin — tidsstämplar och GPS-data från flera olika foton kan kombineras för att rekonstruera dina dagliga rörelser — din pendling, din arbetsplats, dina barns skola och dina favoritrestauranger.
- Enhetsfingeravtryck — kamerans serienummer och unika enhetsidentifierare gör det möjligt att koppla samman foton som publicerats anonymt på olika plattformar till en och samma enhet — och därmed till en och samma person.
- Arbetsplatsinformation — foton tagna på ditt kontor kan avslöja din arbetsgivares plats, vilken utrustning du använder och dina arbetstider. För företag kan detta dessutom exponera känsliga operativa detaljer.
- Social ingenjörskonst — metadata avslöjar personliga vanor och mönster som kan utnyttjas i riktade nätfiskeattacker, identitetsförfalskning eller till och med fysiska säkerhetshot.
Hur sociala mediaplattformar hanterar dina EXIF-data
Olika plattformar hanterar fotometadata på helt olika sätt — och resultaten kan komma att förvåna dig: Facebook och Instagram tar bort de flesta EXIF-data från foton som laddas upp. De behåller och lagrar dock samtidigt dessa metadata på sina egna servrar för reklam- och innehållsanalysändamål. Dina data tas alltså bort från den offentliga filen, men inte från deras interna databaser. Twitter/X började ta bort GPS-data 2019, men andra metadatafält kan fortfarande bevaras intakta. E-postbilagor, molnlagringstjänster (Google Drive, Dropbox, OneDrive) och meddelandeappar som Telegram och WhatsApp (när bilden skickas som dokument istället för komprimerat foto) bevarar vanligtvis samtliga EXIF-data helt intakta. Bloggar, forum och de flesta vanliga webbplatser tar inte bort metadata alls. Alla foton som laddas upp till dessa plattformar behåller sina fullständiga EXIF-data, fullt tillgängliga för vem som helst som laddar ned bilden. Det absolut säkraste tillvägagångssättet är därför att alltid ta bort metadata själv innan du delar — helt oavsett vilken plattform du använder.
Vilka är mest utsatta — och varför problemet består
Alla som delar foton är exponerade, men insatserna är högst för ett fåtal grupper. Överlevare av våld i hemmet och personer med stalkare kan få en trygg plats avslöjad av en enda geotaggad bild. Journalister och aktivister riskerar att avslöja källor och förflyttningar genom ackumulerade metadata. Och barns rutiner — hem, skola, lekplatsen — kartläggs tyst av välmenande familjeinlägg. Anledningen till att problemet består är att metadata skapas tyst och överlever de flesta vardagliga delningar. Kameror geotaggar som standard, datan förblir osynlig i vanliga fotovisare, och många kanaler — e-post, molnlagring, ”dokument”-sändningar i meddelandeappar — släpper igenom den orörd. Medvetenhet är den första försvarslinjen; den praktiska lösningen är att själv ta bort metadata före varje delning. För den exakta steg-för-steg-processen, se vår guide om att ta bort EXIF-data.