Група фахівців з кібербезпеки оприлюднила дослідження групи методів атаки під назвою AirSnitch, що уможливлює перехоплення мережевого трафіку в будь-якій Wi-Fi-мережі в обхід шифрування. Методи використовують архітектурні особливості бездротових мереж на двох нижніх рівнях мережевого стека, повідомляє Ars Technica.
AirSnitch діє на фізичному й канальному рівнях Wi-Fi-мережі. Фізичний рівень відповідає за радіочастотну передачу даних у діапазонах 2,4 і 5 ГГц, тоді як канальний — за передачу пакетів між пристроями, адресацію за MAC-адресами та схеми ізоляції клієнтів. Суть атаки в тому, що мережеве обладнання не прив’язує клієнтів до конкретного стану між нижніми рівнями та рівнями вищими — мережевим, транспортним, сеансовим, рівнем представлення й прикладним.
Саме цей розрив і відкриває можливість для двоспрямованої атаки типу «людина посередині» (MitM, Man-in-the-Middle). Зловмисник, навіть перебуваючи в іншому сегменті мережі з окремим ідентифікатором SSID, може підмінити MAC-адресу й перехопити трафік, адресований жертві. Для цього він використовує діапазон, яким жертва не користується: наприклад, 2,4 ГГц замість 5 ГГц або навпаки.
Щоб жертва не від’єдналася від мережі під час підміни MAC-адреси, зловмисник надсилає ICMP-запит із випадкової адреси — це змушує пристрій жертви перемкнутися. Архітектура Wi-Fi передбачає динамічну зміну розташування клієнтів, тому мережеве обладнання сприймає таку поведінку як норму. Відтак зловмисник може почергово видавати себе за жертву й повертатися у вихідний стан — з високою швидкістю та без жодних обмежень у часі. Ця схема спрацьовує навіть тоді, коли на одному маршрутизаторі налаштовано дві окремі підмережі з різними SSID — «гостьову» і «домашню», — адже обидві використовують спільну таблицю MAC-адрес.
Підписуйтесь на Mediasat у Telegram: тут найцікавіші новини ТБ та телекому
Атака відкриває зловмисникові широкий доступ до даних жертви. Він може переглядати й змінювати весь незахищений трафік, перехоплювати файли cookie автентифікації, паролі та дані банківських карток. У локальних корпоративних мережах трафік нерідко передається без шифрування, що суттєво полегшує його перехоплення. Навіть за наявності HTTPS-з’єднання зловмисник може перехопити DNS-запити, «отруїти» кеш DNS і встановити IP-адреси відвідуваних сайтів — а в багатьох випадках і зіставити їх із конкретними URL-адресами. Окрім самостійного застосування, AirSnitch може слугувати одним з експлойтів у ланцюжку атак із використанням кількох вразливостей водночас.
Дослідники перевірили метод на обладнанні різних виробників: хоча б один із варіантів атаки спрацював на пристроях Netgear, D-Link, TP-Link, Asus, Cisco, Ubiquiti та інших. Ні шифрування WPA2/WPA3, ні протокол автентифікації RADIUS не забезпечили надійного захисту.
Усунути виявлені вразливості суто програмними методами складно, бо вони зумовлені особливостями чипсетів і мережевої архітектури. Проте фахівці окреслили заходи для зниження ризиків. Насамперед варто пам’ятати, що для проведення атаки зловмисник спочатку має здобути доступ до тієї самої мережі, де перебуває жертва, — під’єднавшись до гостьової або домашньої підмережі. Якщо розмістити підмережі в різних VLAN, загроза зменшиться, хоча налаштувати їх без помилок непросто. Використання VPN також знижує ризики, але повного захисту не гарантує. У корпоративних мережах фахівці радять дотримуватися принципу «нульової довіри», за яким кожен клієнтський пристрій вважається потенційно небезпечним.
AirSnitch — не перший випадок, коли дослідники виявляють системні вразливості в самій архітектурі Wi-Fi. Раніше ми повідомляли про серйозну проблему в технології MU-MIMO (Multi-User Multiple Input, Multiple Output), яка забезпечує одночасне під’єднання багатьох користувачів до однієї точки доступу. За оцінками фахівців, ця вразливість потенційно зачіпає понад 20 мільярдів пристроїв — смартфони, ноутбуки, ігрові приставки та розумні телевізори.
