炎炎夏日,下午四點,昏昏欲睡,在充分觀察了周圍環境,并確認領導沒在身邊之后,你悄咪咪地溜進了公司角落里那間無人問津的雜貨間,美美地小憩一下。那里是監控的死角。你甚至將手機、電腦留在了工位上,避免了任何可能的位置追蹤。
睡醒后回到工位,你依然收到了行政同事的“善意提醒”,這讓你不禁后背發涼......
“你把馬甲脫了我照樣認識你!”
2025 年 11 月,來自德國卡爾斯魯厄理工學院(KIT)的三位研究者在計算機安全領域頂級會議 CCS(ACM Conference on Computer and Communications Security)上發表了一篇論文《BFId:利用波束成形反饋信息的身份識別攻擊》,詳細介紹了如何利用 Wi-Fi 路由器發射出的信號,對個人身份進行識別。
這種方法識別的依據不是人臉,也不是聲音,而是個人的步態——也就是不同人的走路姿態。
![]()
在我們的常識里,Wi-Fi 只是一個傳輸數據的管道。只要我們斷開網絡、關掉手機,它就對我們一無所知。這就好像物理邊界被打破,網絡數據攻擊也能在現實世界里給你重重一拳。
Wi-Fi 信號本質上是一種電磁波,當它在空間中傳播時,碰到空間中的物體時,會發生多種改變,比如反射、散射、吸收等。通過分析這些信號的改變,我們就有可能構建起空間里的物體位置信息。
而當一個人行走入這個空間中時,就會對信號產生一定的影響。不僅如此,每個人的步態又有著差別。因此當不同的人走過 Wi-Fi 信號覆蓋區時,身體會以獨特的運動方式干擾原有的信號,通過分析信號的改變與差別,就可以知道是誰走入了這片區域。
其實,通過 Wi-Fi 構建空間信息的技術一直都在發展,不過以往想要獲取這些信息,不僅需要特定的硬件設備,還需要對設備進行改造。而這一次,三位論文作者發現了另一種更簡單的方法,使用 Wi-Fi 5 引入的 BFI(Beamforming Feedback Information)信號,就可以獲取這些信息。
BFI 信號也就是最開始說的“波束成形反饋信息”,這個技術的出現是為了讓 Wi-Fi 信號更好。以往的路由器會向四面八方平等地發出信號,并不能將信號集中發送到你使用電子設備的區域。而 Wi-Fi 5 通過不斷發射和記錄 BFI 信號,可以探索空間中信號的改變情況,計算出你使用的設備所處的位置,從而將無線信號“聚焦”形成定向信號,瞄準設備進行發射。
以往的 Wi-Fi 就像個大喇叭,而有了 BFI 的 Wi-Fi 5 就像是定向的傳聲筒了。
![]()
不過 BFI 信號在傳輸過程中一般都是未經過加密保護的。研究人員發現只需要經過簡單的設置,就能獲取這些數據信息。再通過比對特定人員的步態信息,就可以知道誰進入了這個空間。在實驗中,研究人員甚至將接收設備放在隔壁房間,雖然識別準確率略有下降,但也可以接受數據并完成識別。
別過分擔心,也別掉以輕心
講完了讓人不安的部分,再來說一點讓人安心的。
這項技術目前仍然處于實驗室階段,要在現實世界中部署,還有很大的門檻。
首先是訓練數據。想要真正意義上識別出你是誰,攻擊者需要事先采集你在已知身份情況下的大量走路數據,并用來訓練專屬模型。也就是說,需要先有你的走路步態數據,才能進行匹配識別。這在目前需要花不小的功夫才能專門做收集。
其次是規模問題。論文的實驗數據集是197人,這個規模在學術研究里已經是同類研究中相當大的了,但要是放到一個幾千人的寫字樓或者一座城市的地鐵站,識別的性能如何還是未知數。
相比于 Wi-Fi 識人,目前更容易讓我們這些普通用戶受到侵害的,依然是公共 Wi-Fi 的數據信息安全。有些 Wi-Fi 風險,不需要什么實驗室級別的技術,它們已經在發生在現實生活中了。
“邪惡雙胞胎”
2024年4月,在澳大利亞一架國內航班上,機組人員發現了一個奇怪的 Wi-Fi 網絡——它的名字和航空公司的機上 Wi-Fi 非常相似。
澳大利亞聯邦警察隨即展開調查。在嫌疑人的隨身行李里,他們找到了一臺便攜式無線接入設備、一臺筆記本電腦和一部手機。通過這些設備,他設置了一個具有迷惑性的 Wi-Fi 網絡,而不幸連接上這個 Wi-Fi 的人,當輸入“登陸郵箱和密碼”之后,在線網站的私密數據就有可能被竊取了。
這種被稱為“邪惡雙胞胎”(Evil Twin)的攻擊方式并不新鮮,也并不復雜。攻擊者使用便攜設備創建一個和正規的公共 Wi-Fi 名字相似甚至完全一致的假熱點,并且把信號調得比真正的熱點更強。你的手機或電腦在選擇網絡時,遵循的邏輯是"連信號最強的同名網絡"——于是,你不知不覺就連上了假的那個。
連上之后,你會看到一個熟悉的"登錄頁面",要求你輸入郵箱或社交賬號才能繼續上網。嫌疑人就是通過這樣的方法收集賬號密碼,再嘗試登入個人的社交網絡竊取信息。
隨著調查進一步深入,警察發現嫌疑人不只在飛機上動過手腳。六年多的時間里,他在多個機場都布置過同樣的陷阱,并從17名女性的賬戶中竊取、復制了 700 多張照片和視頻。
一個看起來人畜無害的“免費 Wi-Fi”,成了他長達數年的數字偷窺工具。
![]()
雖然這類技術并不復雜,但在公共場合中一旦出現,迷惑性還是很大的。為了避免個人信息收到侵害,在連接公共 Wi-Fi 時,有幾條重要的原則:
一是先確認正確的 Wi-Fi 名稱。在機場、酒店、咖啡館等地方連接免費 Wi-Fi 時,應該先向工作人員確認正確的 Wi-Fi 名稱后再連接。有些名字是“Free xxxx”的 Wi-Fi 網絡,可能并不是官方所提供的。
二是警惕需要提供個人信息的公共 Wi-Fi。有些 Wi-Fi 在連接后需要驗證登錄,如果需要你輸入郵箱、手機號和密碼才能登錄的"免費Wi-Fi",本身就是一個警告信號。
三是可以關閉公共 Wi-Fi 中的“自動加入網絡”選項。當你的手機記住了"Starbucks"這個網絡名后,不管在哪里遇到"Starbucks"的熱點,都會嘗試進行連接,但問題在于任何人都可以設置一個名字叫"Starbucks"的 Wi-Fi 網絡,并不是每一個都屬于星巴克。在連接公共網絡時可以關閉自動加入的功能,在每次需要使用時再手動加入。
最后是涉及到轉賬、登錄重要賬號等高敏感操作場景時,最好還是切換到流量。
參考文獻
[1] https://dl.acm.org/doi/10.1145/3719027.3765062
[2] https://www.abc.net.au/news/2025-11-28/perth-michael-clapis-guilty-airport-data-theft-sex-videos/105442798
[3] https://www.techexplorist.com/standard-wifi-identify-individuals-near-perfect-accuracy/103068/
作者:普拉斯G
編輯:沈知涵
封面圖來源:Giphy
![]()
點個“小愛心”吧
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.