【重要安全提示】截图可能带来的严重安全隐患

【重要安全提示】截图可能带来的严重安全隐患

拓展阅读:去谷歌搜索“不可见水印”,了解更多技术层面的内容

另外:不可见水印抓人已经发生过了:去谷歌搜索“月饼事件 不可见水印”

(搜索结果含有墙内网站链接,建议使用tor浏览器)

现在很多图片含有数字水印,并不是类似www.google.com这样的可见水印,而是使用快速离散fourier变换、快速离散小波变换加在图片中的不可见水印,并且进行了一定的编码,肉眼是无法辨别的,而通过特定加密软件解密就可以获得这个水印,并以此定位到截图者的具体身份信息。

比如说:你在微博上截图一张
图片看起来什么事情都没有,但是其中包含了不可见数字水印(例如:用户名:abc 时间:2019.1.1 IP:172.168.3.4),那么这张图片就和截图者进行了绑定!下面就可以喝茶了!

注意:以下方法可能无法消除不可见的图片数字水印(频域水印有很高的抗干扰能力)
1、美图、自动美化 2、调整对比度 3、滤镜 4、裁剪 5、旋转 6、镜像 7、拉伸 8、压缩图片 9、重新编码/有损格式(例如JPG)10、利用截图软件再次截图截图(再次截图没用)

此安全隐患解决方案:
使用手机或照相机拍摄屏幕(屏幕刷新率和闪烁会摧毁所有不可见数字水印)
之后删除图片EXIF(照相机数据信息)信息(google有具体软件)

可以置顶吗,我看很多人都在截图,但是完全不知道截图的风险。

感谢置顶,另外就评论区集中问题回答一下,Q & A:(就不说昵称了)
1、Q:不过好像还没看见因为这种水印抓人的报道?
A:这个报道大概不会直接说因为截图,有的话就没人截图而改用其他方式了

2、Q:不知道有没有人尝试过训练一个GAN来给图片加水印和去水印,听上去是个好主意。
A:其实加入一些有色噪声就能破坏掉原有盲水印,但为了保险起见,建议拍摄屏幕

3、Q:純文本的截屏是沒有水印的,只要把相關信息圖蓋掉即可。應該小心是背景圖片的
A:错,背景无关,如果可能尽量处理所有截图(我觉得还是不要直接复制文字,复制文字说服力较弱),另外如果作为证据(避免出现251事件没有证据),也请保留截图,因为拍屏无法说明图片真实性和未经修改(图像质量损失太大,无法证明图片被修改过)

4、Q:手机拍照记得关闭储存照片地理位置资讯的功能。
A:感谢提醒,这很重要,另外国产手机太危险,云上贵州也不太安全吧,建议从美国买原版手机,并注册美国账号(如有可能)

5、Q:用手机拍照记得再裁剪压缩一下,否则能知道你的手机的分辨率。。。比如你在网上发的照片是一亿分辨率的,人家一眼就能知道你用的是高贵的Mix alpha(雷军打钱)。
A:感谢提醒,这很重要

6、Q:对于普通的照片来说,用histogram of pixel values(ps就有的一个功能)就可以看出你的照片有没有加过水印,没有加过水印的照片的curve应该比较光滑。对于普通的照片来说,用histogram of pixel values(ps就有的一个功能)就可以看出你的照片有没有加过水印,没有加过水印的照片的curve应该比较光滑。
A:这个不能作为不可见数字水印是否存在的标准,通过一些频域变换得到的水印会展在全部频域上,这种方式并不保证安全

7、Q:手机自带的截屏功能应该没有产生水印吧?
A:现在网页是可能带有不可见水印的,另外,手机可能也有,因为编码水印只有通过特定的私钥才能解密,所以加了不可见水印,可能也不知道,可能也无法检测,
这产生了一个新的问题:手机拍照可能也不安全(美国版苹果可能安全?不确定)
145
分享 2019-12-07

71 个评论

记得一两年前有段时间微博的图片都加上了特别明显的满屏水印,后来大概因为怨气四起改掉了。但我一直怀疑只是水印变得不明显了。除了微博之外,我还纳闷怎么微信群还没出这个功能。不过好像还没看见因为这种水印抓人的报道?
不知道有没有人尝试过训练一个GAN来给图片加水印和去水印,听上去是个好主意。
純文本的截屏是沒有水印的,只要把相關信息覆蓋掉即可。

應該小心是背景圖片的


品蔥這個頁面就是含有品蔥的水印,如果截屏轉發的微信,就會曝光你使用了品蔥。

品蔥該不該添加水印,是否從應討論一下?
中野梓 黑名单
用手机拍照记得再裁剪压缩一下,否则能知道你的手机的分辨率。。。比如你在网上发的照片是一亿分辨率的,人家一眼就能知道你用的是高贵的Mix alpha(雷军打钱)。

聪明的我马上去网上学习了一下用傅里叶和小波变换来加盲水印的技巧。对于普通的照片来说,用histogram of pixel values(ps就有的一个功能)就可以看出你的照片有没有加过水印,没有加过水印的照片的curve应该比较光滑。至于截图的话应该会不一样,喜欢动手的葱油可以去试一下。

感谢楼主回复,已证明上面一节都是没用的废话。。。
不知道有没有人尝试过训练一个GAN来给图片加水印和去水印,听上去是个好主意。

已经有了,https://github.com/marcbelmont/cnn-watermark-removal,但是效果不好,没法generalize,拿cifar或VOC train的model没办法generalize到别的图片,比如文字,很多时候文字会被当成水印删掉
请问墙外网站如yt截图呢?有可能被墙内追查吗?
我也早就发现了这个问题。😂

但是我怕美图秀秀之类也不安全…

现在我用Picsew,还有更好的压缩和修改图片的APP可以推荐吗。蹲一个…
我很好奇是怎么做到的,如果你不用含有FFT或FWT的截图工具是无法添加水印的,比如只用Mac自带的快捷键截图是不可能加水印的,除非你在微博微信上发截图然后保存截图,或者截已经添加水印的图,但水印内容与截图者就没有关系了
手机自带的截屏功能应该没有产生水印吧?
中野梓 黑名单 回复 小钙
我很好奇是怎么做到的,如果你不用含有FFT或FWT的截图工具是无法添加水印的,比如只用Mac自带的快...

我也很奇怪,比如微博,总不可能每一帧都FFT一下再IFFT回来再给你看吧。。。如果是那种普通的,很淡的水印我觉得倒是很可能
小钙 回复 中野梓 黑名单
我也很奇怪,比如微博,总不可能每一帧都FFT一下再IFFT回来再给你看吧。。。如果是那种普通的,很淡...

和你葱一样加一个已经处理过的bitmap在background image里可不可行?
品葱上载图片,会不会保留了 EXIF?
中野梓 黑名单 回复 小钙
和你葱一样加一个已经处理过的bitmap在background image里可不可行?

阿里月饼事件似乎就是那样子的,有非常淡的水印,必须对比度最高才能看到,听知乎上说的。频域那种大概只有截图工具本身有问题才做得到吧
请问一下电脑截图有没有这样的信息?如果是部分软件自带的截图功能呢?(比如QQ)
如果是自然图像还是拍屏吧,网页截图应该还有其它办法

把文字复制出来,原网页保留样式(比如知乎的logo),背景部分一律填充纯色,再把文字填充回去。这相当于手动渲染一遍网页,杜绝css或者js里动手脚。
安全是战斗的基础.win10自带截图和编辑;Chrome安装FireShot插件.再结合楼上上去水印...

好吧 我还是WIN7 意思是即使是系统自带的截屏功能也会有水印吗(不局限于手机和截屏软件)?
一亿像素目前量产发售的只有小米cc9pro(指出)
沉默的广场 休假中 回复 Blitzcrank 观察
好吧 我还是WIN7 意思是即使是系统自带的截屏功能也会有水印吗(不局限于手机和截屏软件)?

电脑上的截图软件一般没问题,它最多会记录ip和mac,如果还不放心可以在虚拟机里截图。手机应该也差不多,特别是国外牌子。

最有可能定位你的还是网页本身,知乎有些问题必须登录才能查看,在这些网页上截图要注意了
謝謝樓主的分享和提示。國內的蔥油一定一定要保護好自己,時刻注意安全,處在那種環境,你們是真勇士T_T
电脑上的截图软件一般没问题,它最多会记录ip和mac,如果还不放心可以在虚拟机里截图。手机应该也差不...

谢谢解答。
小钙 回复 中野梓 黑名单
阿里月饼事件似乎就是那样子的,有非常淡的水印,必须对比度最高才能看到,听知乎上说的。频域那种大概只有...

所以有可能其实是黑屁,置顶不太合适,现在被取消了,,,
好吧 我还是WIN7 意思是即使是系统自带的截屏功能也会有水印吗(不局限于手机和截屏软件)?
并不会,我知道的某些大公司为了防止信息泄露,会在网页上暗藏账号一类的信息,有的甚至只在截图的时候触发。信息泄露时可以通过水印来追查信息泄露源。 那合情理的推断一下,运用这种技术的网站应该会越来越多。特别是现在公安和互联网公司数据都是接上的(互联网公司数据直接往公安系统传),网警有什么要求,公司只能照着办。
并不会,我知道的某些大公司为了防止信息泄露,会在网页上暗藏账号一类的信息,有的甚至只在截图的时候触发...

“并不会”指的是系统自带的截屏功能不会记录信息吗?
“并不会”指的是系统自带的截屏功能不会记录信息吗?

正版系统肯定不会的,不然微软要被告到负利润吧。
正版系统肯定不会的,不然微软要被告到负利润吧。

谢谢解答
谢谢解答

☺️
按照樓主描述:

截屏微博——獲得一張帶不可見水印的圖片——打開該圖——用其他截屏軟件再次對該圖截屏,那麽第二次截屏之圖是否仍帶不可見水印呢?
求个雕大的程序员开发个自动加噪点的开源截图软件
大部分人安全是因为没有搞你的价值,真要搞你没有人是安全的。雇水军也好,请喝茶也好,都是亏本买卖,如果不是为了完成指标,基层的人才懒得理你。在网上散布这种东西,八成是维稳的套路。
客户端overlay就可以实现,现在最差的手机显核都可以实时处理这种操作。另外JPEG/MPEG压缩本身就是靠傅里叶变换,二进制格式存的都是频域,不用inverse就可以水印。
还有一点就是广告、排版、甚至内容上的微小差别也可以传递信息,类似的思路在防拷贝技术里面已经应用多年。

虽然一个差别可能就是几bit,但33个bit就够区分世界上所有人编上号。

我看翻车新闻经常把广告和评论不做处理就发出来,如果党国想搞那分分钟可以定位。
存在者09 🤬不友善用户
傅立叶变换方法在图像上的痕迹可以非常淡,根本察觉不到,但是在频域会很明显,这是空域和频域不能同时显著或隐藏的原则。

应该说,达到图像加密的程度,必定会在频域上留下很明晰的特征信号,所以,解析频域应该就可以查到。其他的,如果搞成全息图像方式,可能会变得更容易追查,即便是碎片图像也能查,但技术上仍然要在频域留下显著信号,这一点没有不同。
按照樓主描述:截屏微博——獲得一張帶不可見水印的圖片——打開該圖——用其他截屏軟件再次對該圖截屏,那...

拍照才能去掉,截屏无论多少次也不管用。
那加速主义的粉红言论汇总贴里全是截图,是不是都得删掉?
相关问题:
《阿里巴巴公司根据截图查到泄露信息的具体员工的技术是什么?@知乎》
数位浮水印 @wikipedia》
信息隐藏与数字水印技术 @IBM Developer》

隐藏式浮水印就是运用隐写术(Steganography)+ 水印技术而诞生的新技术
求个雕大的程序员开发个自动加噪点的开源截图软件


数字水印是隐藏在频率信息里的,噪点是高频信号,加噪点是没用的。还是需要专业的人士来解决。
拍照最大的缺点就是严重影响阅读者,辣眼睛。
在顾及自身安全的同时又照顾阅读者眼睛,打开梯子或者tor之后,在不登录账号的情况下再截图是最好的办法。
俺在编程随想博客评论区看到有人转发此帖,请问有没有相关技术细节?用 Hex 能否发现水印?
俺在编程随想博客评论区看到有人转发此帖,请问有没有相关技术细节?用 Hex 能否发现水印?


不可发现。隐藏数字水印一般会出现在照片之类非纯色背景的图像中,这类图像的频率域特征丰富,在加入了隐藏信息后肉眼无法觉察。但不论如何,频率域水印在fft变换之后都会闪亮亮,无法躲藏。

但是纯色背景的图像,比如网页截图,在加入频率域水印之后,肉眼可以感知到图像的变化。这方面的隐写技术改进,还在学界研究之中。所以目前网页截图的水印,很多都是粗暴的使用了和背景色接近的文字或图案来做,这样反而不易感知。


重点说一下阿里系统,名称繁多,阿里云OS、YunOS、ALiOS、PMOS(公安定制的),截图都有公安追踪水印。使用魅族、vivo或其他联通定制手机的朋友们要当心。其他手机我没研究过,欢迎葱友补充
哎,第三方Android rom自带系统截图会翻车吗?
哎,第三方Android rom自带系统截图会翻车吗?

我懂了,看了知乎,一定要屏摄
弱弱的问一句,自从爆发疫情以来,我截图了很多东西,但是18号开始(也是我开始截图相关事情的时候)的截图在相册全看不见了,虽然我去文件找了还有,但是相册怎么恢复?截图不见跟监控有关吗?
大多人没有这个技术能力,连理解你们上面说的这些话都做不到
大牛开发个工具吧,提取图片可见层面图像,过滤隐藏信息
我一直用谷歌pixel
不登录实名关联账户,使用tor,使用虚拟机,水印就没用
耸人听闻。
我一直用谷歌pixel

我一直都用华为手机啊 (
一句话:任何功能,别用山寨软件,什么事都不会有。

你既然用,就自己承受后果。
大多人没有这个技术能力,连理解你们上面说的这些话都做不到大牛开发个工具吧,提取图片可见层面图像,过滤...


那是不可能的。

如果我不知道对方的手段,无从寻找“隐藏信息”。

假设你在一个房间内说藏了个硬币,既然我不可能轻易找得到,算法就是绝对不可能找到。
问一句外行的话,在截屏截下来的图片,自己再用软件加一次隐形水印,是否能破坏原隐形水印?
屏幕刷新率和闪烁会摧毁所有不可见数字水印,可靠么?
我想知道windows自带截图工具和IOS截图会附带这些信息么?
個人經常使用的一個方法。
使用第三方截圖工具,然後用多個第三方工具對圖片進行處理。不僅要對可視部分進行處理,還要對不可視(數據部分)進行處理。
基本流程就是:

使用windows自帶的畫圖工具對圖片進行裁剪/壓縮/轉換(另存為→其他格式)。只要圖片顯著縮小/增大,數據部分的水印就基本上會被破壞殆盡。

再使用windows10自帶的照片工具對圖片進行美化/降噪/修正。基本可以破壞可視部分水印。但還不夠,有條件建議使用如waifu2x/anime4k等深度再生成工具對圖片進行重新生成。這一類工具的本質是對圖片進行重新描繪,缺點是圖片內部的數據信息和可視部分的微小細節會被完全破壞。在這裡我們可以利用其上的缺點,不僅可以去除隱藏水印,還可以提高圖片質量。

ps.1謹慎使用QQ截圖或者美圖秀秀等國產工具。
ps.2理論對圖片質量破壞越大的工具效果越好,所以不建議使用ps處理可視部分水印。
ps.3不建議拍照片國產相機拍出的照片安不安全暫且不論,exif本身就十分危險。直接定位機主的效率可高多了。建議拍照片後再如上再處理一次。
Yshch 观察
已隐藏
重要的資訊 感謝提醒
感谢楼主的提醒,又深化了我对数字极权主义(digital totalitarianism)的理解,这个案例如果扩展开来可以写很好的论文。
>>弱弱的问一句,自从爆发疫情以来,我截图了很多东西,但是18号开始(也是我开始截图相关事情的时候)的截...

你是不是用了雲盤上傳之後自動刪除本地的功能?

如果不是的話,那就挺危險的了。
图像网站的收费图会有水印吗
shutter之类的
>> 请问一下电脑截图有没有这样的信息?如果是部分软件自带的截图功能呢?(比如QQ)


电脑截图一样有。因为有些账号申诉方面的操作需要你直接提供全屏截图,改密截图,邮箱截图等等,我猜就是客服或售后持有截图签名或水印识别技术,这样才能安全进入申诉程序。
>> 個人經常使用的一個方法。使用,然後用多個第三方工具對圖片進行處理。不僅要對進行處理,還要對進行...


以上操作對數字水印沒有影響
推薦用2個以上的用戶對同一內容進行截圖。如果所有像素都相等則說明沒有用戶相關的附加信息。
電腦錄屏數秒,然後用影音軟件自帶的截圖功能,把圖截出來,這樣可否?
如果先打印到紙上再拍照應該安全。
很多葱友没有理解到这个数字水印的原理。数字水印是加到网页或图片(视频)上的肉眼不可见元素,跟用什么软件截图没有关系。即使使用操作系统自带的截图软件截图,虽然这些截图软件本身不会添加数字水印,但截取的网页、图片、视频内容本身是含有的,那就仍然可以通过特定的方法将数字水印还原出来。当然,有的国内软件本身带有截图功能,在截图时添加数字水印那也是有可能的。
数字水印厉害之处在于,通过一般的裁剪、涂抹、压缩、调色等等方式编辑后,是无法去除的,仍然可以通过特定的方法还原出来。但数字水印也有个最致命的弱点可以比较轻松的破除它,那就是如楼主所说的,翻拍。翻拍因刷新率、光线变化等等条件的改变,形成的随机噪声可以让数字水印无法再还原。
数字水印这种高级技能,中共是不可能宣传的。因为采用这种技术手段的应用场景,绝对不会是用在普通事情的取证上。
>>很多葱友没有理解到这个数字水印的原理。数字水印是加到网页或图片(视频)上的肉眼不可见元素,跟用什么软...


讲清楚这个要用傅里叶变换来理解,我们看到的图片(像素图)是一个个像素组成,这个叫做值域图
进行傅里叶变换,值域就变成频域了,类似于你听音乐,看音乐的波形图,就是频域图。不可见水印是高频的信号,叠加到图片上,一般图片上的信息,频率比较低,所以加高频的水印,肉眼不可见。但是如果用软件处理图片,可以发现高频信号,这就暴露了高频水印的存在。

解决方法: 最菜最实用的当然是拍屏,拍屏可以破坏高频水印,高级点的办法就是用图像处理软件去验证高频信号的存在,然后用滤波把高频信号去掉。

但是这只是其中一种水印,我还可以用接近背景颜色的像素在值域(也就是通常的图片上)写一个内容。然后肉眼也不容易发现,看频谱也看不出来。但这时候你可以提高对比度,毕竟构成水印的像素和周围的像素不一样,仍然会暴露出来。
有没有在线检测隐藏水印的网站?

要发言请先登录注册

要发言请先登录注册