“穿墻透視”已經不是超能力了。最近，加州大學圣巴巴拉分校和芝加哥大學的研究人員開發了一種新的方法，讓“穿墻透視”變得前所未有的簡單：僅利用環境Wi-Fi信號和普通的智能手機就能穿透墻壁，窺探墻內人的移動。

無線設備無處不在，無論是在家中，辦公室里，還是在街上，人們沐浴在幾千赫茲甚至太赫茲的射頻頻率中。

這些看不見的傳輸有許多穿過我們的身體，而其他的則攜帶著關于我們的位置、運動和其他生理特征的信息。當人們移動時，這個頻率場也會隨之扭曲，隨著移動反射和折射波。

這給了研究人員一個有趣的想法。從理論上講，應該可以利用這種不斷變化的電磁場來確定人體的位置、行為和移動。

實際上，已經有研究人員開發了利用Wi-Fi“穿墻透視”的成像系統。但這些系統也有缺點。比如，它們依賴于所涉及的Wi-Fi發射器的確切位置，并且需要登錄到網絡以來回發送已知的信號。

對于普通的窺探者而言，要知道這些很難，他們通常只能訪問到現成的Wi-Fi嗅探器，比如內置在智能手機中的嗅探器。這種設備很基本，除了嗅探到存在Wi-Fi網絡之外，基本無法窺探關起門的屋內的任何細節。

現在，加州大學圣巴巴拉分校的Yanzi Zhu，芝加哥大學的Zhujun Xiao以及他們的同事開發了一種新的方法，讓“穿墻透視”變得無比簡單：他們找到了一種利用環境Wi-Fi信號和普通的智能手機穿透墻壁看到墻內的方法。

他們在arXiv上公開了論文“Adversarial WiFi Sensing”。研究人員表示，這種新技術可以造成前所未有的隱私侵犯，他們稱這是一種對抗式定位攻擊（adversarial localization attack），“動機不良的攻擊者僅僅使用智能手機，利用周圍WiFi信號的反射，就可以在墻外對個人進行定位和跟蹤?！?/p>

研究人員表示在11個真實世界的地點用實驗驗證了這種攻擊，并以較高的精度顯示了用戶跟蹤。

使用被動WiFi進行定位攻擊

在這篇論文中，我們研究了對抗式WiFi感知對位置隱私威脅的一般問題，并實驗驗證了使用被動WiFi（passive WiFi）感知進行對抗性定位攻擊的可行性。這個研究側重于用戶的對抗性定位和跟蹤，不同于以前的側重于感知用戶姿勢、情緒或身體狀況的研究。

我們的攻擊場景只需使用普通硬件進行被動推理，因為主動射頻發射器容易被檢測到。

本研究的貢獻如下：

首先，我們從人體對環境WiFi信號的阻擋和反射中識別出位置隱私的風險。

其次，我們提出兩個步驟的方法，用于對抗性定位和跟蹤房間內的移動目標。

第三，我們在普通智能手機上實現了攻擊系統的原型，并在11個不同的環境中驗證了攻擊的可行性和準確性，包括辦公樓和住宅樓。

最后，我們提出并評估了三種不同的防御方法，包括地理隔離WiFi信號、限制WiFi信號速率和信號混淆。

兩個步驟：定位和持續監控

先前的研究已經表明，通過分析射頻（RF）的反射，軟件系統可以根據不同的粒度級別“感知”用戶。

這種攻擊可以實現的關鍵因素就是無處不在的環境射頻輻射。無論是路由器、筆記本電腦，還是新的物聯網設備，比如語音助理、攝像頭、智能門鈴、智能家電等，WiFi設備都在不斷地傳播無線信號。觀察這些環境信號足以得到足夠的信息來感知和跟蹤用戶。

在我們的提出的攻擊方法中，為了精確定位和跟蹤用戶，攻擊者首先要分析環境WiFi發射以確定建筑物內靜態WiFi發射器的位置。我們把這些發射器稱為錨固裝置（anchor device）。它們發出的WiFi信號有效地在每個房間內形成一個密集的“隱形”絆網，攻擊者可以利用它監視家里/辦公室里用戶的存在和移動。

攻擊可以分為以下兩個步驟：

第一步：定位目標建筑物內的錨固裝置。

關鍵的想法是利用被嗅探的WiFi包的接收信號強度(RSS)與從錨裝置到嗅探器的距離之間相關性，并根據在不同位置觀察到的RSS來估計錨裝置的位置。

這樣，攻擊者可以在目標位置外測量（比如在辦公樓的公共走廊，或在房屋外），使用一個標準嗅探器設備就可以被動接收房間內WiFi設備的傳輸，如圖1所示。

圖1：攻擊一個醫生辦公室的場景

由于WiFi數據包不加密源和目的地MAC地址，因此攻擊者可以為每個WiFi設備收集數據包，甚至可以從數據包中推斷出設備類型。

然后，攻擊者利用這些嗅探包的RSS值（沿著行走路徑測量到的值）來定位每個對應的WiFi設備。攻擊者甚至可以使用機器人或無人機來測量。

第二步：持續目標監控。

接下來，攻擊者將一個固定的WiFi嗅探器偷偷放到受害者的家/辦公室外面，以持續監控WiFi傳輸。利用被檢測到的WiFi設備作為錨裝置，攻擊者可以從信號中提取出細微的變化，以識別和跟蹤目標如何在室內的各個房間中移動。

這里的關鍵是，當移動時，目標用戶將阻擋或反射附近錨裝置在同一房間發送的WiFi信號，從而觸發攻擊者捕獲的信號變化。因此，根據嗅探信號的變化，攻擊者可以根據所觸發的錨裝置的位置來推斷目標的位置。

上述攻擊在實踐中很容易發起。然而，要想精確地定位和跟蹤具有挑戰性，因為攻擊者為了優先考慮隱身，只使用被動嗅探。

此外，由于攻擊者只能觀察到“墻后”的WiFi信號，捕獲的信號是從多個路徑聚合的，因此非常復雜并且難以建模。一個成功的攻擊設計需要強大的定位算法，以解決這種復雜性和因缺乏地面實況參考點的測量，從而校準用于定位的傳播模型。

實驗評估攻擊效果

第一步攻擊的效果

為了評估第一步的攻擊，我們處理了所收集到的RSS跟蹤，用以檢測和定位目標區域中的固定WiFi設備，并將結果與事實進行比較。圖7是11個測試場景中的每一個WiFi設備的平均定位精度。我們比較了使用和不使用數據篩選的RSS模型擬合的性能，以及應用中所提出的特征聚類時的性能。

從這個實驗中，我們得到兩個關鍵性的觀察。

首先，“盲目地”將RSS測量值饋送到模型擬合中會導致大量的定位誤差。在11個測試場景中的5個場景中，攻擊者將超過40％的WiFi設備放置在錯誤的房間，從而為步驟2攻擊提供了錯誤的錨裝置。

其次，我們提出的數據篩選顯著提高了定位精度。對于90％以上的情況，設備都可以放置在正確的房間。我們使用細粒度數據采樣的設計也優于粗糙的、基于特征聚類的過濾。

第二步攻擊的效果

對于我們的第2步攻擊，我們嘗試了不同類型的目標活動和動作。

檢測房間中的用戶存在。圖8描述了在我們的測試場景中，基于12小時CSI記錄中的用戶存在/移動檢測的CSI性能。我們根據房間中錨固裝置的數量，得到了精度和召回值結果。我們的攻擊探測器非常精確，在室內分別使用一個、兩個和三個錨固裝置時，召喚值分別為87.8％，98.5％和99.8％，三種情況下的精確值均為99.95％。但僅使用一個錨固設備，召回值較低，因為用戶可能離設備更遠，因此他的移動對嗅探的CSI信號帶來的可觀察影響就較少。隨著房間內錨裝置的增加，攻擊覆蓋范圍也將迅速增大。

跟蹤房間內的用戶移動。我們的攻擊還可以跟蹤用戶在房間內的移動。為了研究它的效果，我們首先做了一個對照實驗：我們設計了兩個連通房（1和2），每個房間有兩個錨固裝置。嗅探器放在房間1的外面。我們讓一個人類用戶在兩個房間之間來回走動。圖9顯示了所檢測到用戶在兩個房間的走動占比，表明我們的檢測對人體運動非常敏感。

接下來，使用所有記錄的CSI跡線，我們通過將每個檢測到的、移動的持續時間與用戶記錄的地面實況值進行比較。以分析跟蹤精度。圖10顯示了CDF的持續時間估計誤差，其中80％的情況下，誤差小于16秒。

WiFi設備的觸發距離。如之前描述的那樣，每個錨設備也具有觸發距離。用戶離錨點越近，他對信號傳播（對嗅探器）的影響就越大。為了研究這種效應，我們在四個測試場景中進行了對照實驗。這里的嗅探器放置在距離所有錨固裝置10米的墻后面。

我們將運動模式分為兩組：一是從錨點到嗅探器的直接鏈路移動；二是在錨點的一側移動，這種移動將影響其到嗅探器的反射路徑。我們的結果表明，第一種類型的運動會觸發更多的信號變化?？偟膩碚f，觸發范圍約為3米（準確度為87.8％）。在5米處，準確度則下降到40％。

錨傳輸率的影響。上述結果假設錨設備處于活動模式。報告的CSI分組速率在8-11pps之間。為了研究錨包速率低于8pps的影響，我們對CSI跟蹤進行了子采樣，以模擬低包速率。圖11顯示了作為WiFi安全攝像機的分組速率功能中的探測召回和精度。在全速率（相當于11個百分點的CSI率）下，召回率為88.5％，在2pps時召回率降至58.4％，在0.5pps時則降至31％。但精度恒定在99.94％。這意味著某些WiFi設備在空閑時不能單獨用于檢測用戶的存在。但是，由于設備在不同時間傳輸了數據包，攻擊者可以聚合來自多個錨點的結果，以提高檢測準確性。