Nikt nie jest bezpieczny. Nowa luka odsłania słabości Wi‑Fi
AirSnitch to nowy sposób ataku sieci Wi-Fi, który pozwala obejść izolację klientów i umożliwia ataki oparte na podsłuchu i wysyłaniu zmodyfikowanych treści obydwu stronom. Wszystko przez zignorowanie najniższych warstw bezpieczeństwa.
Badanie wskazuje, że podatność wynika z zachowań na najniższych warstwach stosu sieciowego. Zamiast łamać zabezpieczenia od WEP do WPA3, AirSnitch je omija. Przez to działa na szerokiej grupie routerów różnych producentów i podważa obiecywaną przez te sprzęty izolację klientów, jaką miała gwarantować chociażby sieć dla gości. To otwiera drogę do przechwytywania i modyfikowania ruchu między urządzeniami podłączonymi do tego samego punktu dostępowego.
Autor pracy Xin’an Zhou stwierdził, że AirSnitch umożliwia budowę zaawansowanych ataków, w tym kradzież ciasteczek czy zatruwanie DNS. Współautor Mathy Vanhoef doprecyzował, że to bardziej obejście izolacji niż złamanie szyfrowania Wi‑Fi. osoby, które nie polegają na izolacji sieciowej, pozostają bezpieczniejsze.
Co z tą sztuczną inteligencją? O szansach i zagrożeniach
Jak AirSnitch lokuje się między routerem a użytkownikiem?
Kluczowym elementem jest desynchronizacja tożsamości między warstwami 1 i 2 modeli OSI (Open Systems Interconnection), wykorzystując brak powiązania adresu MAC urządzenia z kluczem jego szyfrowania oraz adresem IP. W efekcie atakujący zyskuje kontrolę nad ruchem w obydwie strony sieci. W ten sposób może podglądać i zmieniać dane, będąc na tym samym SSID, innym SSID, a nawet innym segmencie powiązanym z tym samym fizycznym AP.
Atak dotyka zarówno sieci domowe, jak i ogromne zabezpieczenia korporacyjne, bo pomija jakąkolwiek konfrontację z warstwą kryptograficzną. To uderza zarówno w małe sieci domowe, jak i w rozległe sieci korporacyjne. Niezbędny jest jednak dostęp do sieci. Wystarczy, że ten uzyska się chociażby w ramach sieci dla gości.
Mechanizm zaczyna się od adaptacji klasycznego „port stealing” znanego z Ethernetu. Atakujący mapuje swój adres MAC na port przypisany ofierze, uzyskując ruch wychodzący z routera. Następnie, by przywrócić oryginalne odwzorowanie i utrzymać dwukierunkowy przepływ, wysyła ping ICMP z losowego adresu MAC w ramce z kluczem grupowym. Przełącznik uczy się na zmianę adresów, co stabilizuje atak.
Konsekwencje zależą od warstwy aplikacyjnej. Przy braku szyfrowania HTTP można podejrzeć lub zmieniać treści, przejąć hasła i dane płatnicze. Nawet przy HTTPS możliwe jest przejęcie zapytań DNS i zatruwanie cache. Badacze pokazali też scenariusze w sieciach firmowych: przechwycenie pakietów RADIUS, złamanie znacznika integralności i uruchomienie fałszywego serwera RADIUS wraz z rogue AP.
Testy objęły 11 urządzeń; każde okazało się podatne na co najmniej jeden wariant obejścia. Część producentów wypuściła już aktualizacje ograniczające proceder, ale badacze wskazują na systemowe luki wymagające zmian w projektowaniu układów scalonych. Na ten moment, jeśli w waszej sieci istnieją podatne hotspoty albo udostępniacie sieć dla gości, możecie użyć VPN i postawić na ograniczone zaufanie wobec sieci.
Michał Mielnik, dziennikarz Wirtualnej Polski
