Думали, что сосед не видит вашу историю браузера? У нас для вас плохие новости

Wi-Fi с включённой изоляцией клиентов давно считали надёжной защитой от соседей по сети. Но исследователи показали, что такая защита во многих случаях работает лишь на бумаге. Почти все протестированные маршрутизаторы и точки доступа позволяют обойти изоляцию и перехватить трафик других пользователей, включая корпоративные сети и университетские кампусы.

Авторы работы про AirSnitch изучили, как реализована изоляция клиентов в сетях Wi-Fi, и проверили её на практике. Оказалось, что механизм не стандартизирован в рамках IEEE 802.11, поэтому производители внедряют его по-своему. В результате защита часто оказывается неполной или реализована только на одном уровне, например на канальном, но не на сетевом.

Исследователи протестировали пять популярных домашних маршрутизаторов, две открытые прошивки и несколько корпоративных устройств. Все устройства оказались уязвимы как минимум к одному способу обхода изоляции. В ряде случаев злоумышленник мог не только отправлять пакеты жертве, но и перехватывать её входящий и исходящий трафик, занимая позицию «человека посередине».

Один из ключевых приёмов связан с групповым временным ключом, который точка доступа использует для широковещательных и групповых кадров. Такой ключ получают все клиенты сети. Злоумышленник может подключиться к той же сети, получить групповой ключ и сформировать кадр так, будто его отправила сама точка доступа. Операционная система жертвы принимает такой пакет и обрабатывает вложенные данные, даже если внутри находится обычный одноадресный трафик. В результате изоляция клиентов обходится на уровне шифрования.

В работе описан и другой метод, получивший название gateway bouncing. Даже если точка доступа блокирует прямой обмен кадрами между клиентами, маршрутизатор продолжает пересылать IP-пакеты. Злоумышленник отправляет пакет с IP-адресом жертвы, но с MAC-адресом шлюза. Маршрутизатор принимает кадр и перенаправляет его жертве. Так атакующий добивается доставки данных в обход ограничений на уровне канала.

Самой опасной оказалась техника, основанная на подмене MAC-адреса. Если злоумышленник подключается к той же точке доступа или к другой точке в пределах одной сети и использует MAC-адрес жертвы, внутренняя таблица коммутации может «перепривязать» адрес к порту атакующего. После этого трафик, предназначенный жертве, начинает поступать злоумышленнику. В некоторых сценариях исследователи наблюдали утечку данных в открытом виде через гостевую сеть.

Авторы проверили атаки в двух университетских сетях с WPA2-Enterprise. Даже при использовании индивидуальных учётных данных и серверной аутентификации атакующий, подключённый к открытой гостевой сети, смог перехватить нисходящий трафик своей тестовой жертвы. Для этого использовалась комбинация подмены MAC-адреса и особенностей работы распределительной инфраструктуры.

Дополнительно команда показала, что атаки позволяют перехватывать служебный трафик между точкой доступа и сервером RADIUS. В лабораторных условиях исследователи подобрали слабый общий секрет и развернули собственный поддельный сервер аутентификации, что открывает путь к дальнейшему компрометированию сети.

Авторы пришли к выводу, что изоляция клиентов не обеспечивает ожидаемого уровня защиты ни в домашних, ни в корпоративных сетях. Причины кроются в использовании общих ключей, отсутствии согласованной привязки MAC- и IP-адресов к конкретной сессии, а также в том, что механизмы фильтрации работают разрозненно на разных уровнях. Исходный код инструментов для проверки уязвимостей опубликован в открытом доступе.