KIT: ‘WiFi kan je identificeren, ook als je geen apparatuur bij je draagt’

Nieuwe technologie kan de identiteit van personen zonder wifi-apparaat afleiden uit radionetwerken in de omgeving. Dat stelt het Karlsruhe Institute of Technology. De onderzoekers waarschuwen voor privacyrisico’s en roepen op tot beschermende maatregelen.

Als je langs een café loopt met een wifi-netwerk, kun je geïdentificeerd worden – zelfs als je geen mobiele telefoon bij je hebt. Onderzoekers van het Karlsruhe Institute of Technology (KIT) hebben een manier gevonden om mensen te identificeren door alleen wifi-communicatie op te nemen. Ze wijzen erop dat dit een aanzienlijk risico voor de privacy vormt.

Het is niet nodig dat de personen apparaten bij zich dragen, en er is ook geen specifieke hardware nodig om personen binnen het bereik van het wifi-netwerk te identificeren. Er is niets anders nodig dan wifi-apparaten die met elkaar communiceren in de omgeving van de persoon. Dit creëert patronen die vergelijkbaar zijn met beelden die door camera’s zijn gemaakt, maar dan op basis van radiogolven. Het onderzoeksteam pleit voor adequate privacybescherming.

Bijna 100% nauwkeurig

In een onderzoek met 197 deelnemers kon het team de identiteit van personen met bijna 100% nauwkeurigheid afleiden – onafhankelijk van het perspectief of hun looppatroon.

“Door de voortplanting van radiogolven te observeren, kunnen we een beeld creëren van de omgeving en van de aanwezige personen”, zegt professor Thorsten Strufe van Kastel, het Instituut voor Informatiebeveiliging en Betrouwbaarheid van het KIT. “Dit werkt vergelijkbaar met een gewone camera, met dit verschil dat in ons geval radiogolven in plaats van lichtgolven worden gebruikt voor de herkenning”, legt de cybersecurity-expert uit. “Het maakt dus niet uit of u een wifi-apparaat bij u draagt ​​of niet.” Uw apparaat uitzetten helpt niet: “Het is voldoende dat andere wifi-apparaten in uw omgeving actief zijn.”

WiFi-routers als ‘stille waarnemers’

“Deze technologie maakt van elke router een potentieel middel voor surveillance”, waarschuwt collega Julian Todt. “Als je regelmatig langs een café loopt dat een wifi-netwerk beheert, kun je daar onopgemerkt worden geïdentificeerd en later worden herkend – bijvoorbeeld door overheidsinstanties of bedrijven.”

Felix Morsbach benadrukt dat er voor geheime diensten of cybercriminelen nu makkelijkere methoden zijn om mensen te observeren – bijvoorbeeld door toegang te krijgen tot CCTV-camera’s of videodeurbellen. “De alomtegenwoordige draadloze netwerken zouden echter een bijna complete surveillance-infrastructuur kunnen worden, met een focus op eigendommen: ze zijn onzichtbaar en wekken geen argwaan. WiFi-netwerken bestaan ​​tegenwoordig immers in bijna alle huizen, kantoren, restaurants en openbare ruimtes.”

Geen speciale hardware nodig

In tegenstelling tot aanvallen met LIDAR-sensoren of eerdere wifi-methoden, die gebruikmaken van kanaalstatusinformatie (CSI) – d.w.z. meetgegevens die aangeven hoe een radiosignaal verandert wanneer het wordt weerkaatst door muren, meubels of personen – hebben aanvallers geen speciale hardware nodig. Deze methode vereist niets anders dan een standaard wifi-apparaat. Het werkt door gebruik te maken van de communicatie van legitieme gebruikers van het wifi-netwerk, waarvan de apparaten verbonden zijn met het wifi-netwerk. Deze sturen regelmatig feedbacksignalen binnen het netwerk, ook wel beamforming feedbackinformatie (BFI) genoemd, naar de router – in ongecodeerde vorm, zodat ze leesbaar zijn voor iedereen binnen bereik. Dit creëert beelden vanuit verschillende perspectieven die kunnen dienen om de betreffende personen te identificeren. Zodra het onderliggende machine learning-model is getraind, duurt de identificatie slechts enkele seconden.