Német kutatók megdöbbentő felfedezést tettek a mindennapi vezeték nélküli hálózatok működésével kapcsolatban. A Karlsruhei Technológiai Intézet (KIT) információbiztonsággal és megbízhatósággal foglalkozó intézetének (KASTEL) munkatársai bebizonyították, hogy a hagyományos WiFi jelek visszaverődésének elemzésével a helyiségben tartózkodó személyek egyedi azonosítása is lehetségessé válik. A technológia különlegessége, hogy a megfigyelt személyeknek semmilyen aktív okoseszközt nem kell maguknál tartaniuk, sőt még a telefonjuk kikapcsolása sem nyújt védelmet a rendszerrel szemben.
A láthatatlan kamera működési elve
Thorsten Strufe professzor, a KASTEL kiberbiztonsági szakértője szerint a módszer elve rendkívül hasonlít a hagyományos kamerák működéséhez, azzal a kulcsfontosságú különbséggel, hogy a látható fényhullámok helyett rádióhullámokat használ a környezet leképezésére. Ahogy a rádióhullámok áthaladnak a térben és kölcsönhatásba lépnek a jelen lévő emberi testekkel, jellegzetes visszaverődési mintázatokat hoznak létre. Ezek a minták a kamerák által készített képekhez hasonló vizuális profillá állnak össze.
A támadási felületet és az adatforrást a router és a hálózathoz csatlakozó eszközök közötti rutinszerű, titkosítatlan kommunikáció biztosítja. A modern WiFi hálózatok az útvonal-optimalizáláshoz úgynevezett beamforming feedback information (BFI) jeleket küldenek vissza a hálózaton belül. Ezeket a visszacsatolási adatokat a hatósugarón belül bárki képes fogni és rögzíteni. A begyűjtött adatokból egy mesterséges intelligencia alapú gépi tanulási modell segítségével másodpercek alatt azonosítható a célszemély, amint a modell tréningje befejeződött.
Közel százszázalékos pontosság
A KIT kutatócsoportja egy átfogó kísérlet keretében validálta a rendszer hatékonyságát. A tesztek során összesen 197 résztvevő egyedi mozgási és testfelületi mintázatát vizsgálták. Az eredmények drámai pontosságot mutattak: a mesterséges intelligenciával támogatott rádióhullámos azonosítás szinte 100%-os pontossággal működött. Az egyének felismerését nem befolyásolta a megfigyelési szög változása, és független maradt az alanyok egyedi járásmódjától vagy testhelyzetétől is.
Súlyos adatvédelmi kockázatok és a mindennapok
A felfedezés komoly aggodalomra ad okot a személyiségi és alapvető emberi jogok védelmével kapcsolatban, mivel a módszerhez nincs szükség speciális hardverre (mint a korábban vizsgált LIDAR szenzorok vagy a WiFi csatornaállapot-információk (CSI) dedikált eszközei), csupán egy teljesen hétköznapi, kereskedelmi forgalomban kapható WiFi vevőegységre. Julian Todt, a KASTEL munkatársa szemléletes példaként kiemelte: ha valaki rendszeresen elsétál egy WiFi hálózatot üzemeltető kávézó mellett, a tudta nélkül profilozhatóvá válik, és később más helyszíneken is automatikusan felismerhetik a hatóságok vagy akár magánvállalatok. Különösen nagy veszélyt jelent ez a technológia az autoriter rendszerekben, ahol a tüntetők vagy a megfigyelt állampolgárok követésére is visszaélhetnek vele.
A kutatási adatok összefoglalása
| Paraméter | Részletek és mérőszámok |
|---|---|
| Fejlesztő intézmény | Karlsruher Institut für Technologie (KIT) – KASTEL, Németország |
| Felhasznált hálózati adat | Beamforming Feedback Information (BFI), titkosítatlan nyers adatok |
| Hardverigény | Nincs szükség speciális eszközre, szabványos WiFi router és vevő elegendő |
| Kísérleti alanyok száma | 197 résztvevő |
| Azonosítási pontosság | Közel 100% (gait- és szöguniverzális) |
| Felismerési idő | A modell betanítása után mindössze néhány másodperc |
Magyarországi vonatkozások és a védekezés lehetőségei
Mivel a technológia a világszerte elterjedt IEEE 802.11 szabványcsalád alapvető működési mechanizmusára épül, a sebezhetőség a Magyarországon működő lakossági és vállalati WiFi routereket, illetve nyilvános hotspotokat (például éttermek, plázák, tömegközlekedési eszközök hálózatai) ugyanúgy érinti. Hazai szinten a GDPR és a szigorú adatvédelmi szabályozások miatt a módszer ilyen jellegű alkalmazása jogszerűen szinte kivitelezhetetlen lenne az érintettek kifejezett hozzájárulása nélkül, ám a passzív adatgyűjtés fizikai észlelése szinte lehetetlen. A szakértők szerint a lakossági védekezés jelenleg korlátozott, de a frekvenciasávok tudatos menedzselésével, vagy végső esetben a 2,4 GHz-es sávban működő alacsony teljesítményű zajgenerátorok alkalmazásával a rádiófrekvenciás profilalkotás megzavarható.
Várható piaci és szabályozási kilátások
A KIT kutatói által közzétett figyelmeztetés valószínűleg komoly nyomást gyakorol majd a hálózati szabványosításért felelős nemzetközi szervezetekre (például az IEEE-re), hogy a jövőbeli protokollok fejlesztése során a beamforming visszacsatolási adatokat is kötelezően titkosítsák. Rövid távon a technológia megjelenhet az engedélyezett biztonságtechnikai rendszerekben, az okosotthonok jelenlét-érzékelő funkcióiban vagy az egészségügyi távfelügyeletben (például egyedül élő idősek elesésének észlelésére), miközben a kiberbiztonsági piacon megkezdődik a harc a passzív rádiós megfigyelést blokkoló szoftveres és fizikai védelmi megoldások fejlesztéséért.
