夏日炎炎,下午四点钟,困意袭来。在仔细打量了一圈四周、确认领导并未在场之后,你悄悄溜进公司角落那间很少有人光顾的储物间,舒舒服服地打了个盹——那里刚好是监控盲区。你甚至故意把手机和电脑都留在了工位上,以防被追踪到位置。
醒来后回到座位,却依然收到了行政同事发来的“温馨提示”。这让你不由得脊背发凉……
“就算你脱了马甲,我也照样认得你!”——这句调侃,如今或许真的成了现实。
2025年11月,来自德国卡尔斯鲁厄理工学院(KIT)的三位研究人员,在计算机安全领域顶级会议CCS上发表了一篇论文,全面披露了如何借助Wi-Fi路由器发射的信号来识别个人身份。这种识别并不依赖人脸或声音,而是基于每个人的步态——也就是走路的姿态。

在通常的认知里,Wi-Fi不过是一个传输数据的管道。只要断开网络、关闭手机,它就对我们的行踪一无所知。但这项技术意味着,物理世界的边界已被打破,网络数据攻击同样能在现实空间中给你沉重一击。
Wi-Fi信号本质上是一种电磁波。它在空间中传播时,遇到物体会发生反射、散射、吸收等变化。通过分析这些信号的改变,就可以勾勒出空间内物体的位置信息。而一旦有人走入这个空间,自身便会对信号产生一定干扰。更关键的是,每个人的走路步态都存在差异——不同的人经过Wi-Fi信号覆盖区时,身体会以各自独特的运动方式扰动原有信号。通过分析这些信号的变异与区别,便能判断出是谁进入了这片区域。
事实上,利用Wi-Fi构建空间信息的技术一直在演进。只不过,过去要获取这类信息,不仅需要特定的硬件,还得对设备进行改造。而这一次,三位论文作者发现了一种更简便的途径——利用Wi-Fi 5引入的BFI(波束成形反馈信息)信号,就能获取到这些信息。
波束成形反馈信息这项技术最初的设计目的,是为了让Wi-Fi信号表现更佳。过去的路由器会向四面八方均匀地发射信号,无法将信号集中发送到你使用电子设备的区域。而Wi-Fi 5通过持续发射并记录BFI信号,可以探测空间中信号的变动情况,计算出你所用设备的具体位置,从而把无线信号“聚焦”成定向信号,瞄准设备进行发射。以前的Wi-Fi好比一个大喇叭,而搭载了BFI的Wi-Fi 5则像是一个定向传声筒。

但问题在于,BFI信号在传输过程中通常未经加密。研究人员发现,只要经过简单的设置,就能获取这些数据信息。接着,通过比对特定人员的步态信息,就能得知是谁进入了这个空间。在实验中,研究人员甚至把接收设备放在了隔壁房间,尽管识别准确率略有下滑,但依然可以获取数据并完成识别。
别过分担忧,也别掉以轻心
讲完了令人不安的部分,再来说点让人安心的消息。
这项技术目前仍处于实验室阶段,要想在现实世界中部署,仍存在较大的门槛。
首先是训练数据的问题。要真正识别出你是谁,攻击者需要事先采集你在已知身份条件下的大量走路数据,并用这些数据训练专属模型。也就是说,必须先拿到你的步态特征,才能进行匹配识别。目前来看,想要专门收集这些数据仍需花费不小的功夫。
其次是规模化应用的问题。论文中的实验数据集为197人——这个规模在学术研究中已是同类研究里相当可观的。但如果放到一个几千人的写字楼,或者一座城市的地铁站,识别效果如何仍是未知数。
相比之下,比Wi-Fi识人更容易让普通用户受到侵害的,依然是公共Wi-Fi环境下的数据信息安全。有些Wi-Fi风险,根本不需要实验室级别的技术,它们早已在现实生活中真实上演。
“邪恶双胞胎”
2024年4月,在澳大利亚一架国内航班上,机组人员发现了一个奇怪的Wi-Fi网络——它的名称与航空公司的机上Wi-Fi十分相似。澳大利亚联邦警察随即展开调查。在嫌疑人的随身行李中,他们找到了一台便携式无线接入设备、一台笔记本电脑和一部手机。借助这些设备,嫌疑人搭建了一个极具迷惑性的Wi-Fi热点。那些不慎连接上这个假网络的乘客,一旦输入“登录邮箱和密码”,在线私密数据就有可能被窃取。
这种被称为“邪恶双胞胎”的攻击方式并不新鲜,也并不复杂。攻击者使用便携设备创建一个与正规公共Wi-Fi名称相近甚至完全一致的山寨热点,并将信号调得比真正的热点更强。你的手机或电脑在选择网络时,遵循的逻辑是“连接信号最强的同名网络”——于是,你在不知不觉中就连上了假的那个。
连上之后,你会看到一个熟悉的“登录页面”,要求你输入邮箱或社交账号才能继续上网。嫌疑人正是通过这种方法收集账号密码,再尝试登录个人的社交网络窃取信息。
随着调查的深入,警察发现嫌疑人并不仅仅在飞机上动过手脚。六年多的时间里,他在多个机场都布置过类似的陷阱,并从17名女性的账户中窃取、复制了700多张照片和视频。一个看起来人畜无害的“免费Wi-Fi”,竟成了他持续多年的数字盗窃工具。

这类技术虽然不复杂,但在公共场合一旦出现,迷惑性依然很强。为了避免个人信息受到侵害,连接公共Wi-Fi时,有几点重要的原则可以记牢:
首先,确认正确的Wi-Fi名称。在机场、酒店、咖啡馆等场所连接免费Wi-Fi时,应当先向工作人员核实正确的Wi-Fi名称再连接。有些名字是“Free xxxx”的Wi-Fi网络,可能并非该场所真正提供的。
其次,警惕那些要求提供个人信息的公共Wi-Fi。有些Wi-Fi在连接后需要验证登录,如果需要你输入邮箱、手机号和密码才能使用的“免费Wi-Fi”,这本身就是一个强烈的警示信号。
第三,可以关闭公共Wi-Fi中的“自动加入网络”选项。当你的手机记住了“Starbucks”这个网络名后,无论在哪里遇到名为“Starbucks”的热点,都会尝试自动连接。但问题在于,任何人都可以设置一个名为“Starbucks”的Wi-Fi网络,并非每一个都属于真正的星巴克。在连接公共网络时,建议关闭自动加入功能,每次有需要时再手动连接。
最后,涉及到转账、登录重要账号等高敏感操作场景时,最好还是切换至移动数据流量。
参考文献
[1] https://dl.acm.org/doi/10.1145/3719027.3765062
[2] https://www.abc.net.au/news/2025-11-28/perth-michael-clapis-guilty-airport-data-theft-sex-videos/105442798
[3] https://www.techexplorist.com/standard-wifi-identify-individuals-near-perfect-accuracy/103068/
