Um grupo de especialistas em cibersegurança publicou um artigo sobre o ataque AirSnitch, que opera em redes Wi-Fi. Atuando nas duas camadas mais baixas de uma rede sem fio, ele não quebra a criptografia de dados, mas permite que ela seja contornada, o tráfego interceptado e os dados falsificados.
Fonte da imagem: Dreamlike Street / unsplash.com
O método de ataque AirSnitch explora uma vulnerabilidade e contorna o isolamento de dispositivos clientes em uma única rede Wi-Fi. O ataque visa as duas camadas inferiores da pilha de rede Wi-Fi. A primeira camada é a camada física, conectada por rádio, especificamente pelos canais de 2,4 e 5 GHz. A segunda camada é a camada de enlace de dados, responsável pela transmissão de pacotes de dados na rede, acesso a endereços MAC e esquemas de isolamento de clientes. Acima dela estão as camadas de rede, transporte, sessão, apresentação e aplicação. A sétima e última camada é onde operam HTTP/HTTPS, FTP, navegadores, clientes de e-mail e outros softwares de rede voltados para o usuário.
Ao operar nas duas camadas inferiores, o AirSnitch explora a incapacidade dos equipamentos de rede de associar e sincronizar clientes entre si e as camadas superiores, possibilitando um ataque bidirecional do tipo “homem no meio” (MitM). Um atacante hipotético, mesmo que localizado em segmentos de rede diferentes da vítima potencial, designados por SSIDs diferentes, explora falhas de segurança em vários níveis. Em níveis mais baixos, o equipamento trata os dispositivos do hacker e da vítima como se tivessem endereços MAC diferentes, enquanto em níveis mais altos, o atacante pode falsificar o endereço MAC e interceptar fluxos de dados destinados à vítima. Isso pode ser feito usando uma banda de rádio que a vítima não utiliza: 2,4 GHz em vez de 5 GHz, ou vice-versa.
O atacante pode visualizar e modificar todo o tráfego aberto, roubar cookies usados para autenticação, senhas e dados de cartões bancários.Qualquer outra informação confidencial. Em redes corporativas locais, o tráfego geralmente é transmitido em texto não criptografado, facilitando a interceptação. Mesmo que a vítima use HTTPS, um hacker ainda pode interceptar o tráfego durante as pesquisas de domínio, envenenar o cache DNS e ver os endereços IP que hospedam as páginas da web visitadas pela vítima, muitas vezes associando-os a URLs. Por fim, o AirSnitch pode servir como um exploit em uma cadeia de ataque que explora múltiplas vulnerabilidades.
Fonte da imagem: Jackson Sophat / unsplash.com
Interceptar o endereço MAC da vítima, no entanto, acarretaria o risco de desconectá-la da rede sem fio, permitindo que o atacante se revelasse. Para evitar isso, o dispositivo do hacker envia uma solicitação ICMP (ping) com um endereço MAC aleatório, o que distrai o dispositivo da vítima. Ao contrário de uma conexão Ethernet, uma rede Wi-Fi permite a dinâmica do cliente no nível da arquitetura, de modo que o equipamento de coordenação da rede percebe a mudança de posição de um cliente como normal e a conexão é restaurada para o dispositivo da vítima. O atacante, porém, pode conectar e desconectar em alta velocidade pelo tempo que desejar, às vezes se passando pela vítima e depois retornando ao seu estado original — é assim que um ataque Man-in-the-Middle (MitM) é implementado. Isso funciona mesmo quando um único roteador possui duas sub-redes aparentemente isoladas com SSIDs diferentes — digamos, “guest” e “home” — porque uma única tabela de endereços MAC é usada para ambas as sub-redes.
O método de ataque AirSnitch continua relevante para todos os tipos de equipamentos de rede, sejam roteadores domésticos ou corporativos. Pelo menos um dos métodos funcionou em equipamentos da Netgear, D-Link, TP-Link, Asus, Cisco, Ubiquiti e outros fabricantes. Os métodos de criptografia WPA2/3 e o protocolo de autenticação RADIUS não forneceram proteção confiável.
Mitigar as vulnerabilidades exploradas pelo ataque AirSnitch usando software será difícil — essas vulnerabilidades são inerentes a chipsets e arquiteturas específicas, portanto, não existe uma solução universal. No entanto, a ameaça pode ser mitigada. Para implementar o ataque,Um atacante precisa primeiro encontrar uma maneira de se conectar ao equipamento de rede usado pelo dispositivo da vítima — seja a sub-rede de convidados ou a sub-rede doméstica. Essas redes podem ser isoladas usando SSIDs diferentes em VLANs separadas, o que reduz o risco de ataque, embora seja bastante fácil cometer erros de configuração, observam os pesquisadores. Outra forma de se proteger é usar uma VPN, embora esse método não seja infalível. Por fim, as redes corporativas devem aderir à doutrina de “confiança zero”, o que significa que todos os outros dispositivos clientes devem ser considerados potencialmente perigosos desde o início.