一種新的方法，讓“穿墻透視”變得前所未有的簡單

“穿墻透視”已經(jīng)不是超能力了。最近，加州大學(xué)圣巴巴拉分校和芝加哥大學(xué)的研究人員開發(fā)了一種新的方法，讓“穿墻透視”變得前所未有的簡單：僅利用環(huán)境Wi-Fi信號和普通的智能手機就能穿透墻壁，窺探墻內(nèi)人的移動。

無線設(shè)備無處不在，無論是在家中，辦公室里，還是在街上，人們沐浴在幾千赫茲甚至太赫茲的射頻頻率中。

這些看不見的傳輸有許多穿過我們的身體，而其他的則攜帶著關(guān)于我們的位置、運動和其他生理特征的信息。當(dāng)人們移動時，這個頻率場也會隨之扭曲，隨著移動反射和折射波。

這給了研究人員一個有趣的想法。從理論上講，應(yīng)該可以利用這種不斷變化的電磁場來確定人體的位置、行為和移動。

實際上，已經(jīng)有研究人員開發(fā)了利用Wi-Fi“穿墻透視”的成像系統(tǒng)。但這些系統(tǒng)也有缺點。比如，它們依賴于所涉及的Wi-Fi發(fā)射器的確切位置，并且需要登錄到網(wǎng)絡(luò)以來回發(fā)送已知的信號。

對于普通的窺探者而言，要知道這些很難，他們通常只能訪問到現(xiàn)成的Wi-Fi嗅探器，比如內(nèi)置在智能手機中的嗅探器。這種設(shè)備很基本，除了嗅探到存在Wi-Fi網(wǎng)絡(luò)之外，基本無法窺探關(guān)起門的屋內(nèi)的任何細節(jié)。

現(xiàn)在，加州大學(xué)圣巴巴拉分校的Yanzi Zhu，芝加哥大學(xué)的Zhujun Xiao以及他們的同事開發(fā)了一種新的方法，讓“穿墻透視”變得無比簡單：他們找到了一種利用環(huán)境Wi-Fi信號和普通的智能手機穿透墻壁看到墻內(nèi)的方法。

他們在arXiv上公開了論文“Adversarial WiFi Sensing”。研究人員表示，這種新技術(shù)可以造成前所未有的隱私侵犯，他們稱這是一種對抗式定位攻擊（adversarial localization attack），“動機不良的攻擊者僅僅使用智能手機，利用周圍WiFi信號的反射，就可以在墻外對個人進行定位和跟蹤?！?/p>

研究人員表示在11個真實世界的地點用實驗驗證了這種攻擊，并以較高的精度顯示了用戶跟蹤。

使用被動WiFi進行定位攻擊

在這篇論文中，我們研究了對抗式WiFi感知對位置隱私威脅的一般問題，并實驗驗證了使用被動WiFi（passive WiFi）感知進行對抗性定位攻擊的可行性。這個研究側(cè)重于用戶的對抗性定位和跟蹤，不同于以前的側(cè)重于感知用戶姿勢、情緒或身體狀況的研究。

我們的攻擊場景只需使用普通硬件進行被動推理，因為主動射頻發(fā)射器容易被檢測到。

本研究的貢獻如下：

首先，我們從人體對環(huán)境WiFi信號的阻擋和反射中識別出位置隱私的風(fēng)險。

其次，我們提出兩個步驟的方法，用于對抗性定位和跟蹤房間內(nèi)的移動目標(biāo)。

第三，我們在普通智能手機上實現(xiàn)了攻擊系統(tǒng)的原型，并在11個不同的環(huán)境中驗證了攻擊的可行性和準(zhǔn)確性，包括辦公樓和住宅樓。

最后，我們提出并評估了三種不同的防御方法，包括地理隔離WiFi信號、限制WiFi信號速率和信號混淆。

兩個步驟：定位和持續(xù)監(jiān)控

先前的研究已經(jīng)表明，通過分析射頻（RF）的反射，軟件系統(tǒng)可以根據(jù)不同的粒度級別“感知”用戶。

這種攻擊可以實現(xiàn)的關(guān)鍵因素就是無處不在的環(huán)境射頻輻射。無論是路由器、筆記本電腦，還是新的物聯(lián)網(wǎng)設(shè)備，比如語音助理、攝像頭、智能門鈴、智能家電等，WiFi設(shè)備都在不斷地傳播無線信號。觀察這些環(huán)境信號足以得到足夠的信息來感知和跟蹤用戶。

在我們的提出的攻擊方法中，為了精確定位和跟蹤用戶，攻擊者首先要分析環(huán)境WiFi發(fā)射以確定建筑物內(nèi)靜態(tài)WiFi發(fā)射器的位置。我們把這些發(fā)射器稱為錨固裝置（anchor device）。它們發(fā)出的WiFi信號有效地在每個房間內(nèi)形成一個密集的“隱形”絆網(wǎng)，攻擊者可以利用它監(jiān)視家里/辦公室里用戶的存在和移動。

攻擊可以分為以下兩個步驟：

第一步：定位目標(biāo)建筑物內(nèi)的錨固裝置。

關(guān)鍵的想法是利用被嗅探的WiFi包的接收信號強度(RSS)與從錨裝置到嗅探器的距離之間相關(guān)性，并根據(jù)在不同位置觀察到的RSS來估計錨裝置的位置。

這樣，攻擊者可以在目標(biāo)位置外測量（比如在辦公樓的公共走廊，或在房屋外），使用一個標(biāo)準(zhǔn)嗅探器設(shè)備就可以被動接收房間內(nèi)WiFi設(shè)備的傳輸，如圖1所示。

圖1：攻擊一個醫(yī)生辦公室的場景

由于WiFi數(shù)據(jù)包不加密源和目的地MAC地址，因此攻擊者可以為每個WiFi設(shè)備收集數(shù)據(jù)包，甚至可以從數(shù)據(jù)包中推斷出設(shè)備類型。

然后，攻擊者利用這些嗅探包的RSS值（沿著行走路徑測量到的值）來定位每個對應(yīng)的WiFi設(shè)備。攻擊者甚至可以使用機器人或無人機來測量。

第二步：持續(xù)目標(biāo)監(jiān)控。

接下來，攻擊者將一個固定的WiFi嗅探器偷偷放到受害者的家/辦公室外面，以持續(xù)監(jiān)控WiFi傳輸。利用被檢測到的WiFi設(shè)備作為錨裝置，攻擊者可以從信號中提取出細微的變化，以識別和跟蹤目標(biāo)如何在室內(nèi)的各個房間中移動。

這里的關(guān)鍵是，當(dāng)移動時，目標(biāo)用戶將阻擋或反射附近錨裝置在同一房間發(fā)送的WiFi信號，從而觸發(fā)攻擊者捕獲的信號變化。因此，根據(jù)嗅探信號的變化，攻擊者可以根據(jù)所觸發(fā)的錨裝置的位置來推斷目標(biāo)的位置。

上述攻擊在實踐中很容易發(fā)起。然而，要想精確地定位和跟蹤具有挑戰(zhàn)性，因為攻擊者為了優(yōu)先考慮隱身，只使用被動嗅探。

此外，由于攻擊者只能觀察到“墻后”的WiFi信號，捕獲的信號是從多個路徑聚合的，因此非常復(fù)雜并且難以建模。一個成功的攻擊設(shè)計需要強大的定位算法，以解決這種復(fù)雜性和因缺乏地面實況參考點的測量，從而校準(zhǔn)用于定位的傳播模型。

實驗評估攻擊效果

第一步攻擊的效果

為了評估第一步的攻擊，我們處理了所收集到的RSS跟蹤，用以檢測和定位目標(biāo)區(qū)域中的固定WiFi設(shè)備，并將結(jié)果與事實進行比較。圖7是11個測試場景中的每一個WiFi設(shè)備的平均定位精度。我們比較了使用和不使用數(shù)據(jù)篩選的RSS模型擬合的性能，以及應(yīng)用中所提出的特征聚類時的性能。

從這個實驗中，我們得到兩個關(guān)鍵性的觀察。

首先，“盲目地”將RSS測量值饋送到模型擬合中會導(dǎo)致大量的定位誤差。在11個測試場景中的5個場景中，攻擊者將超過40％的WiFi設(shè)備放置在錯誤的房間，從而為步驟2攻擊提供了錯誤的錨裝置。

其次，我們提出的數(shù)據(jù)篩選顯著提高了定位精度。對于90％以上的情況，設(shè)備都可以放置在正確的房間。我們使用細粒度數(shù)據(jù)采樣的設(shè)計也優(yōu)于粗糙的、基于特征聚類的過濾。

第二步攻擊的效果

對于我們的第2步攻擊，我們嘗試了不同類型的目標(biāo)活動和動作。

檢測房間中的用戶存在。圖8描述了在我們的測試場景中，基于12小時CSI記錄中的用戶存在/移動檢測的CSI性能。我們根據(jù)房間中錨固裝置的數(shù)量，得到了精度和召回值結(jié)果。我們的攻擊探測器非常精確，在室內(nèi)分別使用一個、兩個和三個錨固裝置時，召喚值分別為87.8％，98.5％和99.8％，三種情況下的精確值均為99.95％。但僅使用一個錨固設(shè)備，召回值較低，因為用戶可能離設(shè)備更遠，因此他的移動對嗅探的CSI信號帶來的可觀察影響就較少。隨著房間內(nèi)錨裝置的增加，攻擊覆蓋范圍也將迅速增大。

跟蹤房間內(nèi)的用戶移動。我們的攻擊還可以跟蹤用戶在房間內(nèi)的移動。為了研究它的效果，我們首先做了一個對照實驗：我們設(shè)計了兩個連通房（1和2），每個房間有兩個錨固裝置。嗅探器放在房間1的外面。我們讓一個人類用戶在兩個房間之間來回走動。圖9顯示了所檢測到用戶在兩個房間的走動占比，表明我們的檢測對人體運動非常敏感。

接下來，使用所有記錄的CSI跡線，我們通過將每個檢測到的、移動的持續(xù)時間與用戶記錄的地面實況值進行比較。以分析跟蹤精度。圖10顯示了CDF的持續(xù)時間估計誤差，其中80％的情況下，誤差小于16秒。

WiFi設(shè)備的觸發(fā)距離。如之前描述的那樣，每個錨設(shè)備也具有觸發(fā)距離。用戶離錨點越近，他對信號傳播（對嗅探器）的影響就越大。為了研究這種效應(yīng)，我們在四個測試場景中進行了對照實驗。這里的嗅探器放置在距離所有錨固裝置10米的墻后面。

我們將運動模式分為兩組：一是從錨點到嗅探器的直接鏈路移動；二是在錨點的一側(cè)移動，這種移動將影響其到嗅探器的反射路徑。我們的結(jié)果表明，第一種類型的運動會觸發(fā)更多的信號變化。總的來說，觸發(fā)范圍約為3米（準(zhǔn)確度為87.8％）。在5米處，準(zhǔn)確度則下降到40％。

錨傳輸率的影響。上述結(jié)果假設(shè)錨設(shè)備處于活動模式。報告的CSI分組速率在8-11pps之間。為了研究錨包速率低于8pps的影響，我們對CSI跟蹤進行了子采樣，以模擬低包速率。圖11顯示了作為WiFi安全攝像機的分組速率功能中的探測召回和精度。在全速率（相當(dāng)于11個百分點的CSI率）下，召回率為88.5％，在2pps時召回率降至58.4％，在0.5pps時則降至31％。但精度恒定在99.94％。這意味著某些WiFi設(shè)備在空閑時不能單獨用于檢測用戶的存在。但是，由于設(shè)備在不同時間傳輸了數(shù)據(jù)包，攻擊者可以聚合來自多個錨點的結(jié)果，以提高檢測準(zhǔn)確性。