一種新的方法，讓“穿墻透視”變得前所未有的簡(jiǎn)單

“穿墻透視”已經(jīng)不是超能力了。最近，加州大學(xué)圣巴巴拉分校和芝加哥大學(xué)的研究人員開(kāi)發(fā)了一種新的方法，讓“穿墻透視”變得前所未有的簡(jiǎn)單：僅利用環(huán)境Wi-Fi信號(hào)和普通的智能手機(jī)就能穿透墻壁，窺探墻內(nèi)人的移動(dòng)。

無(wú)線設(shè)備無(wú)處不在，無(wú)論是在家中，辦公室里，還是在街上，人們沐浴在幾千赫茲甚至太赫茲的射頻頻率中。

這些看不見(jiàn)的傳輸有許多穿過(guò)我們的身體，而其他的則攜帶著關(guān)于我們的位置、運(yùn)動(dòng)和其他生理特征的信息。當(dāng)人們移動(dòng)時(shí)，這個(gè)頻率場(chǎng)也會(huì)隨之扭曲，隨著移動(dòng)反射和折射波。

這給了研究人員一個(gè)有趣的想法。從理論上講，應(yīng)該可以利用這種不斷變化的電磁場(chǎng)來(lái)確定人體的位置、行為和移動(dòng)。

實(shí)際上，已經(jīng)有研究人員開(kāi)發(fā)了利用Wi-Fi“穿墻透視”的成像系統(tǒng)。但這些系統(tǒng)也有缺點(diǎn)。比如，它們依賴于所涉及的Wi-Fi發(fā)射器的確切位置，并且需要登錄到網(wǎng)絡(luò)以來(lái)回發(fā)送已知的信號(hào)。

對(duì)于普通的窺探者而言，要知道這些很難，他們通常只能訪問(wèn)到現(xiàn)成的Wi-Fi嗅探器，比如內(nèi)置在智能手機(jī)中的嗅探器。這種設(shè)備很基本，除了嗅探到存在Wi-Fi網(wǎng)絡(luò)之外，基本無(wú)法窺探關(guān)起門(mén)的屋內(nèi)的任何細(xì)節(jié)。

現(xiàn)在，加州大學(xué)圣巴巴拉分校的Yanzi Zhu，芝加哥大學(xué)的Zhujun Xiao以及他們的同事開(kāi)發(fā)了一種新的方法，讓“穿墻透視”變得無(wú)比簡(jiǎn)單：他們找到了一種利用環(huán)境Wi-Fi信號(hào)和普通的智能手機(jī)穿透墻壁看到墻內(nèi)的方法。

他們?cè)赼rXiv上公開(kāi)了論文“Adversarial WiFi Sensing”。研究人員表示，這種新技術(shù)可以造成前所未有的隱私侵犯，他們稱這是一種對(duì)抗式定位攻擊（adversarial localization attack），“動(dòng)機(jī)不良的攻擊者僅僅使用智能手機(jī)，利用周圍WiFi信號(hào)的反射，就可以在墻外對(duì)個(gè)人進(jìn)行定位和跟蹤?！?/p>

研究人員表示在11個(gè)真實(shí)世界的地點(diǎn)用實(shí)驗(yàn)驗(yàn)證了這種攻擊，并以較高的精度顯示了用戶跟蹤。

使用被動(dòng)WiFi進(jìn)行定位攻擊

在這篇論文中，我們研究了對(duì)抗式WiFi感知對(duì)位置隱私威脅的一般問(wèn)題，并實(shí)驗(yàn)驗(yàn)證了使用被動(dòng)WiFi（passive WiFi）感知進(jìn)行對(duì)抗性定位攻擊的可行性。這個(gè)研究側(cè)重于用戶的對(duì)抗性定位和跟蹤，不同于以前的側(cè)重于感知用戶姿勢(shì)、情緒或身體狀況的研究。

我們的攻擊場(chǎng)景只需使用普通硬件進(jìn)行被動(dòng)推理，因?yàn)橹鲃?dòng)射頻發(fā)射器容易被檢測(cè)到。

本研究的貢獻(xiàn)如下：

首先，我們從人體對(duì)環(huán)境WiFi信號(hào)的阻擋和反射中識(shí)別出位置隱私的風(fēng)險(xiǎn)。

其次，我們提出兩個(gè)步驟的方法，用于對(duì)抗性定位和跟蹤房間內(nèi)的移動(dòng)目標(biāo)。

第三，我們?cè)谄胀ㄖ悄苁謾C(jī)上實(shí)現(xiàn)了攻擊系統(tǒng)的原型，并在11個(gè)不同的環(huán)境中驗(yàn)證了攻擊的可行性和準(zhǔn)確性，包括辦公樓和住宅樓。

最后，我們提出并評(píng)估了三種不同的防御方法，包括地理隔離WiFi信號(hào)、限制WiFi信號(hào)速率和信號(hào)混淆。

兩個(gè)步驟：定位和持續(xù)監(jiān)控

先前的研究已經(jīng)表明，通過(guò)分析射頻（RF）的反射，軟件系統(tǒng)可以根據(jù)不同的粒度級(jí)別“感知”用戶。

這種攻擊可以實(shí)現(xiàn)的關(guān)鍵因素就是無(wú)處不在的環(huán)境射頻輻射。無(wú)論是路由器、筆記本電腦，還是新的物聯(lián)網(wǎng)設(shè)備，比如語(yǔ)音助理、攝像頭、智能門(mén)鈴、智能家電等，WiFi設(shè)備都在不斷地傳播無(wú)線信號(hào)。觀察這些環(huán)境信號(hào)足以得到足夠的信息來(lái)感知和跟蹤用戶。

在我們的提出的攻擊方法中，為了精確定位和跟蹤用戶，攻擊者首先要分析環(huán)境WiFi發(fā)射以確定建筑物內(nèi)靜態(tài)WiFi發(fā)射器的位置。我們把這些發(fā)射器稱為錨固裝置（anchor device）。它們發(fā)出的WiFi信號(hào)有效地在每個(gè)房間內(nèi)形成一個(gè)密集的“隱形”絆網(wǎng)，攻擊者可以利用它監(jiān)視家里/辦公室里用戶的存在和移動(dòng)。

攻擊可以分為以下兩個(gè)步驟：

第一步：定位目標(biāo)建筑物內(nèi)的錨固裝置。

關(guān)鍵的想法是利用被嗅探的WiFi包的接收信號(hào)強(qiáng)度(RSS)與從錨裝置到嗅探器的距離之間相關(guān)性，并根據(jù)在不同位置觀察到的RSS來(lái)估計(jì)錨裝置的位置。

這樣，攻擊者可以在目標(biāo)位置外測(cè)量（比如在辦公樓的公共走廊，或在房屋外），使用一個(gè)標(biāo)準(zhǔn)嗅探器設(shè)備就可以被動(dòng)接收房間內(nèi)WiFi設(shè)備的傳輸，如圖1所示。

圖1：攻擊一個(gè)醫(yī)生辦公室的場(chǎng)景

由于WiFi數(shù)據(jù)包不加密源和目的地MAC地址，因此攻擊者可以為每個(gè)WiFi設(shè)備收集數(shù)據(jù)包，甚至可以從數(shù)據(jù)包中推斷出設(shè)備類型。

然后，攻擊者利用這些嗅探包的RSS值（沿著行走路徑測(cè)量到的值）來(lái)定位每個(gè)對(duì)應(yīng)的WiFi設(shè)備。攻擊者甚至可以使用機(jī)器人或無(wú)人機(jī)來(lái)測(cè)量。

第二步：持續(xù)目標(biāo)監(jiān)控。

接下來(lái)，攻擊者將一個(gè)固定的WiFi嗅探器偷偷放到受害者的家/辦公室外面，以持續(xù)監(jiān)控WiFi傳輸。利用被檢測(cè)到的WiFi設(shè)備作為錨裝置，攻擊者可以從信號(hào)中提取出細(xì)微的變化，以識(shí)別和跟蹤目標(biāo)如何在室內(nèi)的各個(gè)房間中移動(dòng)。

這里的關(guān)鍵是，當(dāng)移動(dòng)時(shí)，目標(biāo)用戶將阻擋或反射附近錨裝置在同一房間發(fā)送的WiFi信號(hào)，從而觸發(fā)攻擊者捕獲的信號(hào)變化。因此，根據(jù)嗅探信號(hào)的變化，攻擊者可以根據(jù)所觸發(fā)的錨裝置的位置來(lái)推斷目標(biāo)的位置。

上述攻擊在實(shí)踐中很容易發(fā)起。然而，要想精確地定位和跟蹤具有挑戰(zhàn)性，因?yàn)楣粽邽榱藘?yōu)先考慮隱身，只使用被動(dòng)嗅探。

此外，由于攻擊者只能觀察到“墻后”的WiFi信號(hào)，捕獲的信號(hào)是從多個(gè)路徑聚合的，因此非常復(fù)雜并且難以建模。一個(gè)成功的攻擊設(shè)計(jì)需要強(qiáng)大的定位算法，以解決這種復(fù)雜性和因缺乏地面實(shí)況參考點(diǎn)的測(cè)量，從而校準(zhǔn)用于定位的傳播模型。

實(shí)驗(yàn)評(píng)估攻擊效果

第一步攻擊的效果

為了評(píng)估第一步的攻擊，我們處理了所收集到的RSS跟蹤，用以檢測(cè)和定位目標(biāo)區(qū)域中的固定WiFi設(shè)備，并將結(jié)果與事實(shí)進(jìn)行比較。圖7是11個(gè)測(cè)試場(chǎng)景中的每一個(gè)WiFi設(shè)備的平均定位精度。我們比較了使用和不使用數(shù)據(jù)篩選的RSS模型擬合的性能，以及應(yīng)用中所提出的特征聚類時(shí)的性能。

從這個(gè)實(shí)驗(yàn)中，我們得到兩個(gè)關(guān)鍵性的觀察。

首先，“盲目地”將RSS測(cè)量值饋送到模型擬合中會(huì)導(dǎo)致大量的定位誤差。在11個(gè)測(cè)試場(chǎng)景中的5個(gè)場(chǎng)景中，攻擊者將超過(guò)40％的WiFi設(shè)備放置在錯(cuò)誤的房間，從而為步驟2攻擊提供了錯(cuò)誤的錨裝置。

其次，我們提出的數(shù)據(jù)篩選顯著提高了定位精度。對(duì)于90％以上的情況，設(shè)備都可以放置在正確的房間。我們使用細(xì)粒度數(shù)據(jù)采樣的設(shè)計(jì)也優(yōu)于粗糙的、基于特征聚類的過(guò)濾。

第二步攻擊的效果

對(duì)于我們的第2步攻擊，我們嘗試了不同類型的目標(biāo)活動(dòng)和動(dòng)作。

檢測(cè)房間中的用戶存在。圖8描述了在我們的測(cè)試場(chǎng)景中，基于12小時(shí)CSI記錄中的用戶存在/移動(dòng)檢測(cè)的CSI性能。我們根據(jù)房間中錨固裝置的數(shù)量，得到了精度和召回值結(jié)果。我們的攻擊探測(cè)器非常精確，在室內(nèi)分別使用一個(gè)、兩個(gè)和三個(gè)錨固裝置時(shí)，召喚值分別為87.8％，98.5％和99.8％，三種情況下的精確值均為99.95％。但僅使用一個(gè)錨固設(shè)備，召回值較低，因?yàn)橛脩艨赡茈x設(shè)備更遠(yuǎn)，因此他的移動(dòng)對(duì)嗅探的CSI信號(hào)帶來(lái)的可觀察影響就較少。隨著房間內(nèi)錨裝置的增加，攻擊覆蓋范圍也將迅速增大。

跟蹤房間內(nèi)的用戶移動(dòng)。我們的攻擊還可以跟蹤用戶在房間內(nèi)的移動(dòng)。為了研究它的效果，我們首先做了一個(gè)對(duì)照實(shí)驗(yàn)：我們?cè)O(shè)計(jì)了兩個(gè)連通房（1和2），每個(gè)房間有兩個(gè)錨固裝置。嗅探器放在房間1的外面。我們讓一個(gè)人類用戶在兩個(gè)房間之間來(lái)回走動(dòng)。圖9顯示了所檢測(cè)到用戶在兩個(gè)房間的走動(dòng)占比，表明我們的檢測(cè)對(duì)人體運(yùn)動(dòng)非常敏感。

接下來(lái)，使用所有記錄的CSI跡線，我們通過(guò)將每個(gè)檢測(cè)到的、移動(dòng)的持續(xù)時(shí)間與用戶記錄的地面實(shí)況值進(jìn)行比較。以分析跟蹤精度。圖10顯示了CDF的持續(xù)時(shí)間估計(jì)誤差，其中80％的情況下，誤差小于16秒。

WiFi設(shè)備的觸發(fā)距離。如之前描述的那樣，每個(gè)錨設(shè)備也具有觸發(fā)距離。用戶離錨點(diǎn)越近，他對(duì)信號(hào)傳播（對(duì)嗅探器）的影響就越大。為了研究這種效應(yīng)，我們?cè)谒膫€(gè)測(cè)試場(chǎng)景中進(jìn)行了對(duì)照實(shí)驗(yàn)。這里的嗅探器放置在距離所有錨固裝置10米的墻后面。

我們將運(yùn)動(dòng)模式分為兩組：一是從錨點(diǎn)到嗅探器的直接鏈路移動(dòng)；二是在錨點(diǎn)的一側(cè)移動(dòng)，這種移動(dòng)將影響其到嗅探器的反射路徑。我們的結(jié)果表明，第一種類型的運(yùn)動(dòng)會(huì)觸發(fā)更多的信號(hào)變化?？偟膩?lái)說(shuō)，觸發(fā)范圍約為3米（準(zhǔn)確度為87.8％）。在5米處，準(zhǔn)確度則下降到40％。

錨傳輸率的影響。上述結(jié)果假設(shè)錨設(shè)備處于活動(dòng)模式。報(bào)告的CSI分組速率在8-11pps之間。為了研究錨包速率低于8pps的影響，我們對(duì)CSI跟蹤進(jìn)行了子采樣，以模擬低包速率。圖11顯示了作為WiFi安全攝像機(jī)的分組速率功能中的探測(cè)召回和精度。在全速率（相當(dāng)于11個(gè)百分點(diǎn)的CSI率）下，召回率為88.5％，在2pps時(shí)召回率降至58.4％，在0.5pps時(shí)則降至31％。但精度恒定在99.94％。這意味著某些WiFi設(shè)備在空閑時(shí)不能單獨(dú)用于檢測(cè)用戶的存在。但是，由于設(shè)備在不同時(shí)間傳輸了數(shù)據(jù)包，攻擊者可以聚合來(lái)自多個(gè)錨點(diǎn)的結(jié)果，以提高檢測(cè)準(zhǔn)確性。