カリフォルニア大学リバーサイド校の研究者らは、無線ネットワークに対する新しい種類の攻撃手法「AirSnitch」(PDF)を開発しました。この攻撃により、攻撃者はクライアント間の直接通信を阻止するWi-Fiネットワーク分離メカニズムを回避できます。最悪のシナリオでは、攻撃者は被害者のトラフィックを自身を経由してリダイレクト(中間者攻撃)し、暗号化されていないリクエストを分析または変更したり、DNSキャッシュポイズニングによってウェブサイトリクエストを偽装したりすることが可能になります。
攻撃を実行するには、攻撃者は被害者と同じ無線ネットワーク、または同じアクセスポイントが提供するゲストネットワークに接続できる必要があります。例えば、パブリック無線ネットワーク上で攻撃が実行される場合があります。テスト対象となった9種類の無線アクセスポイント(Netgear、Tenda、D-LINK、TP-LINK、ASUS、Ubiquiti、LANCOM、Cisco製)と、DD-WRTおよびOpenWrtファームウェアを搭載したデバイスは、いずれも少なくとも1つの攻撃手法に対して脆弱でした。
攻撃の実行を可能にする3つの問題が特定されています。1つ目の問題は、ブロードキャストフレームの保護に使用される不適切な鍵管理により、クライアント間の分離を回避できることです。2つ目の問題は、分離が通常MACレベルまたはIPレベルのいずれかで適用され、両方で適用されないことに起因します。3つ目の問題は、ネットワークスタック全体にわたるクライアント識別子の同期が信頼性に欠けることに起因し、他のクライアントからの受信トラフィックと送信トラフィックの傍受が可能になります。
最新の無線アクセスポイントは、無線送信機とネットワークスイッチ(レイヤー2スイッチ)の機能を兼ね備えています。有線ネットワークとは異なり、スイッチはクライアントを物理ポートにバインドするのではなく、無線チャネルへの論理バインディングを使用します。このバインディングでは、クライアントのMACアドレスが識別子として使用され、MACアドレスは専用のMACアドレステーブル内のチャネルに関連付けられます。クライアントが別のチャネル(例えば、2.4GHzから5GHz)に切り替えると、テーブル内のデータが更新されます。
この攻撃は、OSIネットワークモデルのレイヤー1(物理層、無線チャネル)とレイヤー2(データリンク、MACアドレス)で実行されます。攻撃者は、被害者と同じアクセスポイントに接続していますが、被害者とは異なる周波数帯域(例:5GHzではなく2.4GHz)を使用し、被害者のMACアドレスを指定して接続要求(4ウェイハンドシェイク)を送信します(イーサネットネットワークにおけるARPスプーフィングに類似)。クライアントはMACアドレスで識別されるため、アクセスポイントはクライアントが別のチャネルに切り替えたと想定し、MACアドレステーブルのエントリを変更します。その後、アクセスポイントからのすべての受信トラフィックは攻撃者のデバイスに送信されます。
双方向傍受を行うために、攻撃者は被害者宛てのデータを受信すると、MACアドレステーブルを元の状態にリセットします。これは、ランダムなMACアドレスを含む「ICMP Ping」パケットを送信し、そのパケットをGTK(Group Temporal Key)(すべての無線ネットワーククライアントに共通する鍵)で暗号化することで実現されます。このパケットを受信すると、アクセスポイントは被害者のMACアドレスを元の無線チャネルに再バインドします。トラフィックへの侵入は、巡回スプーフィングとMACアドレステーブルエントリのリセットによって実行されます。
出所: オープンネット.ru
