DOI QR코드

DOI QR Code

Forensic Analysis of HEIF Files on Android and Apple Devices

스마트폰에서 촬영된 HEIF 파일 특징 분석에 관한 연구

  • 권영진 (고려대학교 컴퓨터학과 정보보호융합전공) ;
  • 방수민 (고려대학교 정보보호대학원) ;
  • 한재혁 (고려대학교 정보보호대학원) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2021.06.25
  • Accepted : 2021.07.05
  • Published : 2021.10.31

Abstract

The High Efficiency Image File Format (HEIF) is an MPEG-developed image format that utilizes the video codec H.265 to store still screens in a single image format. The iPhone has been using HEIF since 2017, and Android devices such as the Galaxy S10 have also supported the format since 2019. The format can provide images with good compression rates, but it has a complex internal structure and lacks significant compatibility between devices and software, making it not popular to replace commonly used JPEG (or JPG) files. However, despite the fact that many devices are already using HEIF, digital forensics research regarding it is lacking. This means that we can be exposed to the risk of missing potential evidence due to insufficient understanding of the information contained inside the file during digital forensics investigations. Therefore, in this paper, we analyze the HEIF formatted photo file taken on the iPhone and the motion photo file taken on the Galaxy to find out the information and features contained inside the file. We also investigate whether or not the software we tested support HEIF and present the requirement of forensic tools to analyze HEIF.

HEIF(High Efficiency Image File Format)는 MPEG에서 개발된 이미지 포맷으로써, 비디오 코덱인 H.265를 활용하여 정지된 화면을 하나의 이미지 형태로 저장할 수 있도록 개발된 컨테이너이다. 아이폰은 2017년부터 HEIF를 사용하고 있으며, 2019년부터는 갤럭시 S10과 같은 안드로이드 기기도 해당 포맷을 지원하고 있다. 이 포맷은 우수한 압축률을 가지도록 이미지를 제공할 수 있으나, 복잡한 내부 구조를 가지고 있어 기기나 소프트웨어 간 호환성이 현저하게 부족하여 일반적으로 사용되는 JPEG(또는 JPG) 파일을 대체하기에는 아직 대중적이지 못한 상황이다. 하지만 이미 많은 기기에서 HEIF를 사용하고 있음에도 불구하고 디지털 포렌식 연구는 부족한 상황이다. 이는 디지털 포렌식 조사 과정에서 파일 내부에 포함된 정보의 파악이 미흡하여 잠재적인 증거를 놓칠 수 있는 위험에 노출될 수 있다. 따라서 본 논문에서는 아이폰에서 촬영된 HEIF 형식의 사진 파일과 갤럭시에서 촬영된 모션 포토 파일을 분석하여 파일 내부에 포함된 정보와 특징들을 알아본다. 또한 이미지 뷰어 기능을 지원하는 소프트웨어를 대상으로 HEIF에 대한 지원 여부를 조사하고 HEIF를 분석하는 포렌식 도구의 요구사항을 제시한다.

Keywords

References

  1. U. Albalawi, S. P. Mohanty, and E. Kougianos, "A hardware architecture for better portable graphics (bpg) compression encoder," In 2015 IEEE International Symposium on Nano-electronic and Information Systems, pp.291-296, 2015.
  2. J. Alakuijala, "WebP Lossless Bitstream Specification," 2012, [Internet], https://developers.google.com/speed/webp/docs/webp_lossless_bitstream_specification.
  3. G. K. Wallace, "The JPEG still picture compression standard," IEEE Transactions on Consumer Electronics, Vol.38, No.1, pp.18-34, 1992. https://doi.org/10.1109/30.125072
  4. "Counterpoint," Counterpoint Research, Last Modified APRIL 30. 2021, accessed JUNE 24. 2021, [Internet], https://www.counterpointresearch.com/global-smartphone-share/
  5. Information technology - high efficiency coding and media delivery in heterogeneous environments. Standard, International Organization for Standardization, Geneva, CH, December 2017.
  6. "HEIF Image Format," nokiatech.github.io, accessed JUL 7, https://nokiatech.github.io/heif/technical.html.
  7. S. McKeown and G. Russell, "Forensic considerations for the high efficiency image file format (heif)," In 2020 International Conference on Cyber Security and Protection of Digital Services (Cyber Security), IEEE, pp.1-8. 2020.
  8. M. J. Bennett, "Assessing the potential useof high efficiency video coding (hevc) and high efficiency image file format (heif) in archival still images," Code4Lib Journal, Vol.41, 2018.
  9. "MAGNET FORENSICS," Magnet Forensics Blog, Last Modified JAN 25. 2021, accessed MAR 20. 2021, [Internet], https://www.magnetforensics.com/blog/android-motion-photos-in-magnet-axiom/
  10. "High Efficiency Image File (HEIF) Format, MPEG-H Part 12," loc.gv, last modified JUN 17. 2021, accessed JUL 5, [Internet], https://www.loc.gov/preservation/digital/formats/fdd/fdd000525.shtml