【论文阅读】VR-Spy: ASide-Channel Attack on Virtual Key-Logging in VR Headsets

作者提出了VR-Spy，一种利用WiFi信号的信道状态信息（CSI）的虚拟按键识别方法。VR-Spy背后的关键思想是，与每个虚拟按键相关的手运动的侧通道信息在CSI波形中具有独特的手势模式。

1.介绍

很多工作表明了可以通过不同的传感器获取的生物数据来识别VR使用者的身份。在虚拟环境中通过不同的图像技术获取虚假的身份认证也是有可能的。因此在用户认证方面已有很多的工作在做了。与物理键盘相比较，虚拟键盘可以逃逸很多攻击，例如声音攻击、电磁辐射和手指跟踪等。在现有商用WIFi设备中有两种类型的信号，一种是接收信号强度指示（RSSI），一种是信道状态信息（CSI）。由于WiFi通信在室内位置的普遍性，使用WiFi信号的定位和活动检测引起了研究界的高度关注。

VR-Spy利用WiFi通信的CSI来检测虚拟击键的精细手势。然后，使用每个特定键的独特手势，VR-Spy识别击键。基于 CSI 的活动检测方法是无设备的方法，这意味着不需要安装任何外设和传感器。而基于视觉和传感器的方法需要安装额外设备。VR-Spy利用这些图像来识别利用信号处理技术的活动。最初，VR-Spy会从CSI流中检测与虚拟击键相关的用户手势。然后，它识别击键，将检测到的手势与脱机生成的每个字符和数字的唯一签名数据库进行比较。

文章的贡献：

(1)引入了一种针对VR虚拟键盘记录的新颖侧信道攻击，该攻击基于用户使用普遍WiFi信号CSI的活动。

(2)提出了一种新颖的五步手势检测算法，利用了宏观活动存在时的信号处理技术。

(3)开发了从离线指纹生成到在线击键识别的端到端虚拟击键识别模型。与现有的基于视觉和运动传感器的方法相比，我们达到了69.75%的合理击键识别准确率。

(4)最后，针对不同的VR用户详尽地评估了我们的设计，以验证攻击模型的鲁棒性。

2.背景和动机

WiFi使用很常见，WiFi信号的CSI使人能够识别细颗粒活动。CSI：无线通信中的CSI表示通信链路的已知的信道属性（例如，信道增益、信道相移）。它包括散射、多路径衰落和从发射机传播到接收机的通信信号的功率衰减的综合效应。动机：用户手势是潜在的侧信道信息，用于识别由于手势参与虚拟按键记录中的击键。我们观察到，每次击键的手势在CSI流中都有独特的图像。VR设备通常连接到WiFi来访问互联网，但WiFi通信的CSI与VR设备的信息完全正交。因此，利用WiFi信号CSI的按键记录侧信道攻击更实用，更容易适用于这些场景。

不同的击键有不同的图形

3.威胁模型和假设

假设攻击者未安装任何恶意软件和木马程序监控受害者，只通过WiFi的CSI值来推断输入内容。

假设1：用户在输入的过程中不会改变虚拟键盘的位置和尺寸。

假设2：输入包括定位和选择，VR-Spy假定用户选择之后必须用控制器的按键或者触控板选择。

4.VR-Spy的架构

VR-Spy的工作流程

VR-Spy工作流程由三部分组成：从商业网络接口卡获取CSI数据，离线虚拟击键的目标手势的处理和指纹形成，以及识别击键的在线推理阶段。

4.1CSI流预处理

CSI流中的噪声可以分为三类。第一类噪声是CSI流中的异常值，它是由传输信号功率、传输速率等方面的突然自适应所引入的。第二类噪声是带外频率噪声。CSI流中的第三类噪声是涉及信号通带的噪声。

4.2虚拟键击提取

为了从CSI流中提取手势，我们需要在波形中找到起始点和终点。CSI波形中的手势都分布在所有的子载波中。此外，VR用户还可以进行其他活动，以及与虚拟按键相关的手势。因此，我们需要开发一个高效和鲁棒的算法来提取在其他活动存在时可以利用的信息。在VR-Spy中，我们实现了以下五步算法来从CSI流中提取虚拟击键。1.归一化CSI流的主成分分析。2.滑动窗户的均值绝对偏差。3.有窗口波形的加权平均值。4.终端点检测。5.手势提取。

4.3特征提取

为了成功地对图案进行分类，我们需要将图案的整个形状作为特征。由于图案的长度，整个图案在训练分类器时的计算效率低下。我们对图案的波形采用动态小波变换（DWT）来获得时间和空间信息。然后，我们选择DWT的比例系数和细节系数作为特征。

4.4分类

我们使用模式的特征选择k最近邻（kNN）分类器的集合。我们对分类器使用了动态时间扭曲距离度量。使用动态时间扭曲的原因是，不同手势和不同用户的模式经常不同。动态时间扭曲可以测量两个失真波形之间的最佳距离，从而减轻持续时间和环境变化相关的失真。

5.实施和效果评估

5.1硬件设置

VR-Spy由无线局域网（WLAN）中的两个商用现成的（COTS）硬件设备组成。采用了带有两个发射天线的双波段无线路由器作为接入点（发射器），以及带有Intel WiFi link 5300 network interface card作为检测点（接收器）。通信链路采用IEEE标准802.11n，信道157处的信道宽度为20MHz。我们使用了5G频带的WiFi，而不是2.4G频带，以避免来自其他ISM频带通信链路的干扰，如蓝牙通信。

VR-Spy实验装置

在虚拟环境中的虚拟击键实验中，我们使用了Oculus Quest VR头盔，这是最新的具有先进功能的VR头盔。

键盘布局

5.2结果

为了评估VR-Spy，设计了来自26个字母和10个数字的文本字符串。我们选择文本字符串，以便在字符串中没有字符是可重复的，并且字符串中每个字符的总体出现数是相等的。我们随机打乱所有36个字符，并将整个字符串划分为6个长度为6个字符的文本。对于每个实验，我们重复文本生成过程三次。我们按照类似的程序为十个不同的用户做了十个实验。因此，用于评估VR-Spy的数据集由十个不同用户的数据样本组成，数据集中的每个字符出现三十次。所有实验数据都是从受控的实验环境中收集的，干扰尽可能小。VR-Spy通过十倍交叉验证训练kNN分类器。因此，整个数据集被拆分为十个分区，并且在每次迭代中，一个分区作为测试数据集。其余分区的联合被视为训练数据集。

性能指标：击键识别涉及两个符号步骤：每个击键的手势提取，然后将手势分类为击键。以下等式定义了手势模式提取精度。

其中Gpresent和Gextracted分别表示 CSI 波形中存在的手势模式的数量和从波形中提取的手势模式的数量。分类精度定义为：

其中 Ntotal和 Ncorrect分别表示总预测和总正确预测。整体击键识别准确性是这两个相关步骤的结果。我们将击键识别准确性定义为：

5.2.1键击检测

我们考虑了三种VR活动来简化实验设计：观看视频、玩电子游戏和按键记录。

不同活动的功率谱密度

我们发现CSI流用于关键记录活动的能量在90到95之间。

针对不同活动的CSI流的能量

VR-Spy将所有用户数据融合到一个数据集中，以估计单个字符识别的精度。然后，我们对分类器进行了36个字符的训练。上图绘制了单个按键识别精度的精度。平均击球准确率为69.75%。

我们对10个不同的用户进行了VR-Spy的实验

6.总结

该攻击包括一种新的五步手势检测算法，从CSI流的变化中提取虚拟键记录手势。VR-Spy利用信号处理技术从CSI波形中提取手势模式，并利用机器学习算法从手势模式中识别击键。VR-Spy的实现包括两个商用的（COTS）设备，一个发射机（路由器）和一个50英寸间隔的接收器（IWL 5300 NIC），以构建WiFi通信链路。受害者，即VR用户，被放置在发射器和接收器之间。VR-Spy获得的平均虚拟击键识别准确率为69.75%。