WHOFI surgió en el último lugar en el repositorio público ARXIV, impresionantes equipos de seguridad con una prueba de concepto que convierte los enrutadores ordinarios de 2.4 GHz en escáneres biométricos encubiertos.
A diferencia de los sistemas basados en la cámara, esta tubería neuronal huele dactilar la forma única en que un cuerpo distorsiona la información de estado del canal Wi-Fi (CSI), lo que permite que un atacante identifique a alguien desde el lado opuesto de una pared de yeso, en la oscuridad o a través del follaje claro.
La ingeniería inversa temprana muestra que solo necesita un transmisor de una sola antena y un receptor de tres antenas, hardware que se encuentra en muchos puntos de acceso al consumidor de rango medio, lo que hace que la implementación a gran escala sea trivialmente económica.
Inicialmente, los investigadores enmarcaron WHOFI como una alternativa de preservación de la privacidad a CCTV, pero su publicación inmediatamente desencadenó el interés del equipo rojo.
Dentro de cuarenta y ocho horas, los foros subterráneos circularon imágenes de Docker en mano que incorporan el modelo Pytorch completo y un Sniffer CSI ligero impulsado por el firmware de Nexmon de código abierto.
Los analistas de seguridad (Danilo Avola, Daniele Pannone, Dario Montagnini y Emad Emam) anotado Que los repositorios ya incluyen scripts para la inscripción automática de objetivos: un aspirante a espía simplemente camina un pasillo con un teléfono inteligente, captura 100 paquetes Wi-Fi por persona y el codificador de transformador, informando reportamente el 95.5% de precisión de rango-1, aprende una “huella de la radio” de radio “que sigue siendo estable incluso si el sujeto cambia la ropa o lleva una espada en la parte posterior.
Desde el punto de vista de la interferencia de red, el vector más alarmante es que el malware nunca toca el punto final.
Todo el cálculo se ejecuta en una caja controlada por el atacante colocada con el punto de acceso; El paquete captura el flujo sobre un puerto reflejado, invisible para EDR basado en host.
No hay balizas de JavaScript, sin cargas útiles de phishing, solo una colección pasiva de RF. Se transmite un solo SSID oculto llamado “radar” para mantener constantes los parámetros de modulación, pero los dispositivos de las víctimas no necesitan asociarse.
Detección-evasión a través del aprendizaje negativo en el lote
Una vez que los cortes CSI exfiltrados alcanzan la GPU, WHOFI ejecuta una táctica de persistencia pocas defensas monitor: re-entrenamiento a nivel de modelo. El código continuamente ajusta los incrustaciones utilizando una pérdida negativa en el lote que obliga a nuevas firmas a colapsar hacia su centroide histórico mientras repele a otros.
Debido a que el reentrenamiento altera solo pesas dentro de ~/modelos/quién f.
# whofi_persist.py — model self-refresh loop batch_q, batch_g = sampler.next() # passive CSI queue S_q, S_g = model(batch_q), model(batch_g) # embed signatures sim = torch.mm(S_q, S_g.T) # cosine (l2-normed) loss = F.cross_entropy(sim, tortch.arange (sim.size (0))) Loss.backward (); optimizador. Step () # actualización de silencio en el lugar
Los controles de seguridad que se basan en hashes estáticos o instantáneas de memoria periódica pierden esta mutación; Cada época reforma sutilmente la hiperesfera sin generar un nuevo proceso.
En su lugar, los analistas pueden buscar núcleos de GPU anómalos invocados por libtorch_cuda. SO en controladores Wi-Fi sin cabeza o observar los persistentes sobretensiones de tráfico CSI de 20 MB por minuto en los puertos del espejo de interruptor.
Arquitectura del codificador (Fuente – ARXIV)
La arquitectura del codificador muestra el transformador liviano de seis cabezas que alimenta este sigilo.
Hasta que los proveedores de firmware expongan el acceso de CSI solo a los conductores firmados, y hasta que los SOC aprendan a marcar las capturas RAW-802.11 sostenidas, WHOFI representa un salto inquietante en la vigilancia no invasiva, colocando biométricas por radiofrecuencia directamente en la herramienta del atacante.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
