Forscher der University of California, Riverside, haben eine neue Angriffsklasse auf drahtlose Netzwerke entwickelt (PDF), genannt AirSnitch. Diese Angriffe ermöglichen es Angreifern, die Isolationsmechanismen von WLAN-Netzwerken zu umgehen, die die direkte Kommunikation zwischen Clients verhindern. Im schlimmsten Fall können Angreifer so den Datenverkehr des Opfers umleiten (Man-in-the-Middle-Angriffe), um unverschlĂŒsselte Anfragen zu analysieren oder zu verĂ€ndern sowie Website-Anfragen durch DNS-Cache-Poisoning zu fĂ€lschen.
Um Angriffe durchzufĂŒhren, muss ein Angreifer eine Verbindung zum selben WLAN-Netzwerk wie das Opfer oder zu einem Gastnetzwerk herstellen können, das vom selben Zugangspunkt bereitgestellt wird. Angriffe können beispielsweise in öffentlichen WLAN-Netzwerken erfolgen. Von den neun getesteten WLAN-Zugangspunktmodellen, darunter GerĂ€te von Netgear, Tenda, D-Link, TP-Link, ASUS, Ubiquiti, LANCOM und Cisco sowie GerĂ€te mit DD-WRT- und OpenWrt-Firmware, waren alle GerĂ€te fĂŒr mindestens eine Angriffsmethode anfĂ€llig.
Drei Schwachstellen wurden identifiziert, die den Angriff ermöglichen. Die erste Schwachstelle ermöglicht das Umgehen der Client-Isolation aufgrund unzureichender SchlĂŒsselverwaltung zum Schutz von Broadcast-Frames. Die zweite Schwachstelle liegt darin begrĂŒndet, dass die Isolation ĂŒblicherweise entweder auf MAC- oder IP-Ebene, aber nicht auf beiden, angewendet wird. Die dritte Schwachstelle wird durch die unzuverlĂ€ssige Synchronisierung der Client-IDs im gesamten Netzwerk-Stack verursacht, wodurch der ein- und ausgehende Datenverkehr anderer Clients abgefangen werden kann.
Moderne WLAN-Zugangspunkte vereinen die Funktionen eines Funksenders und eines Netzwerk-Switches (Layer-2-Switch). Anders als in kabelgebundenen Netzwerken verwendet der Switch eine logische Bindung an einen Funkkanal, anstatt den Client an einen physischen Port zu binden. Diese Bindung nutzt die MAC-Adresse des Clients als Kennung, die einem Kanal in einer speziellen MAC-Adresstabelle zugeordnet ist. Wechselt der Client den Kanal (z. B. von 2.4 GHz auf 5 GHz), werden die Daten in der Tabelle aktualisiert.
Der Angriff erfolgt auf den Schichten 1 (physikalische Schicht, Funkkanal) und 2 (Sicherungsschicht, MAC-Adresse) des OSI-Netzwerkmodells. Der Angreifer, der mit demselben Zugangspunkt verbunden ist, jedoch ein anderes Frequenzband als das Opfer nutzt (z. B. 2.4 GHz statt 5 GHz), sendet eine Verbindungsanfrage (einen Vier-Wege-Handschlag) mit der MAC-Adresse des Opfers (Ă€hnlich wie beim ARP-Spoofing in Ethernet-Netzwerken). Da Clients anhand ihrer MAC-Adresse identifiziert werden, geht der Zugangspunkt davon aus, dass der Client den Kanal gewechselt hat, und Ă€ndert den entsprechenden Eintrag in seiner MAC-Adresstabelle. AnschlieĂend wird der gesamte eingehende Datenverkehr vom Zugangspunkt an das GerĂ€t des Angreifers weitergeleitet.
Um bidirektionales Abfangen durchzufĂŒhren, setzt der Angreifer, nachdem er Daten empfangen hat, die an das Opfer adressiert sind, die MAC-Adresstabelle auf ihren ursprĂŒnglichen Zustand zurĂŒck. Dies geschieht durch das Senden eines ICMP-Ping-Pakets mit einer zufĂ€lligen MAC-Adresse und die VerschlĂŒsselung des Pakets mit dem GTK (Group Temporal Key), einem SchlĂŒssel, der allen Clients in drahtlosen Netzwerken gemeinsam ist. Nach dem Empfang dieses Pakets bindet der Access Point die MAC-Adresse des Opfers wieder an den ursprĂŒnglichen Funkkanal. Das Eindringen in den Datenverkehr erfolgt durch zyklisches Spoofing und ZurĂŒcksetzen des Eintrags in der MAC-Adresstabelle.
Source: opennet.ru
