Команда исследователей из Калифорнийского университета в Риверсайде обнаружила ряд уязвимостей в существующих системах безопасности Wi-Fi, которые позволяют перехватывать данные в сетевой инфраструктуре, к которой устройства уже подключены, даже при условии использования изоляции клиентов. Эта уязвимость, получившая название AirSnitch, эксплуатирует присущие недостатки сетевого стека, ставя под сомнение основополагающие предположения о безопасности беспроводных сетей. Согласно результатам проведённого ими исследования, указанный механизм позволяет злоумышленникам обходить защитные механизмы, предназначенные для предотвращения взаимодействия между клиентами одной сети.
Основная суть проблемы заключается в том, что Wi-Fi не обеспечивает криптографической привязки между MAC-адресами клиентов, ключами шифрования Wi-Fi и IP-адресами на уровнях 1, 2 и 3 сетевого стека. Эта архитектурная особенность позволяет злоумышленнику принять идентичность другого устройства в сети, тем самым вводя её в заблуждение и вынуждая направлять как входящий, так и исходящий трафик через атакующее устройство. Подобный механизм создаёт лазейку для несанкционированного доступа к данным, несмотря на общепринятые меры безопасности.
Синьань Чжоу, ведущий автор данного исследования, в интервью изданию Ars Technica отметил, что AirSnitch «ломает глобальное Wi-Fi шифрование и потенциально может обеспечить возможность сложных кибератак». Он также добавил, что «продвинутые атаки могут основываться на наших примитивах для похищения файлов cookie, отравления DNS и кеша». При этом, несмотря на то, что утверждение о «взломе шифрования» требует уточнения, поскольку AirSnitch напрямую не разрушает криптографические алгоритмы, данная уязвимость ставит под сомнение общепринятое предположение о невозможности атаки зашифрованных клиентов друг на друга ввиду их криптографической изоляции. Исследование фактически демонстрирует возможность «физического прослушивания всего трафика», создавая основу для подобных сложных атак, что представляет собой значительную угрозу для глобальной сетевой безопасности.
Существуют четыре основных метода, используемых AirSnitch для обхода изоляции клиентов, причём одним из них является злоупотребление общими ключами. Поскольку большинство сетей применяют единый пароль или групповой временный ключ (GTK), злоумышленник способен инкапсулировать пакеты, предназначенные для конкретной цели, в широковещательный кадр GTK, что делает их похожими на легитимную информацию, адресованную всем участникам сети. Целевое устройство затем принимает данный трафик, ошибочно полагая его широковещательным пакетом, что предоставляет злоумышленнику начальный доступ для осуществления более сложных атак, таких как Gateway Bouncing. В контексте данного сценария атакующий отправляет данные к точке доступа, адресуя их MAC-адресу шлюза; когда шлюз получает эти данные, он распознаёт IP-заголовок третьего уровня, который содержит IP-адрес жертвы, однако игнорирует пункт назначения второго уровня (которым является сам шлюз), а затем пересылает эти данные жертве, что позволяет одному клиенту отправлять информацию другому клиенту без прямого взаимодействия.
Две другие выявленные уязвимости включают подделку MAC-адреса, при которой злоумышленник способен имитировать MAC-адрес жертвы, что приводит к пересылке шлюзом всего входящего трафика непосредственно атакующему. Альтернативный подход предполагает, что атакующий может подделать MAC-адреса внутренних устройств, например самого шлюза, тем самым обеспечивая перехват исходящего трафика от целевого устройства. Эти методы наглядно демонстрируют способность злоумышленника эффективно маскироваться под легитимные компоненты сети, получая контроль над потоками передаваемых данных.
Исследователи обнаружили данные уязвимости в пяти популярных моделях домашних маршрутизаторов, таких как Netgear Nighthawk x6 R8000, Tenda RX2 Pro, D-LINK DIR-3040, TP-Link Archer AXE75 и Asus RT-AX57, а также в двух прошивках с открытым исходным кодом: DD-WRT v3.0-r44715 и OpenWrt 24.10. Помимо этого, аналогичные недостатки были выявлены в двух корпоративных сетях университетов. Это убедительно свидетельствует о том, что данная проблема не ограничивается лишь особенностями разработки и программирования маршрутизаторов производителями, а скорее представляет собой фундаментальный изъян в архитектуре Wi-Fi, где её конструкция делает систему уязвимой для злоумышленников, осведомлённых о способах эксплуатации её недочётов.
Хотя представленная информация может вызвать обеспокоенность, исследователи подчеркнули, что данный тип атаки является достаточно сложным в реализации, особенно с учётом постоянно возрастающей сложности современных беспроводных сетей. Тем не менее, это не должно служить основанием для игнорирования данной проблемы производителями оборудования и группами по стандартизации, поскольку потенциальный риск остаётся значительным. Исследовательская группа выразила надежду, что это открытие послужит стимулом для объединения усилий в отрасли по разработке более строгих требований к изоляции клиентов, что позволит предотвратить подобные уязвимости в будущем и повысить общую безопасность беспроводных сетей.
