WiFi攻擊中的“核武器”長啥樣?來,今天咱們開開眼
3·15晚會上,央視曝光了WiFi探針盒子通過手機MAC地址、大數據匹配獲取手機用戶個人信息的典型案例。
其中,曝光的“聲牙科技有限公司”號稱有全國6億手機用戶的個人信息,包括手機號,只要將獲取到的手機MAC地址與公司后臺的大數據匹配,就可以匹配出用戶的手機號碼,匹配率大概在60%。
你以為這就完了?不不,就在“WiFi探針盒子”事件尚未偃旗息鼓之時,阿里安全研究專家再度發現WiFi的重大新問題。
3月22日,阿里安全獵戶座實驗室資深安全專家侯客、高級安全工程師青惟在加拿大溫哥華舉辦的世界信息安全峰會CanSecWest2019上披露了這一研究成果。那么,這個攻擊到底長啥樣?相比“WiFi探針盒子”它具備哪些新“技能”?
為了搞清楚上面的問題,本宅和阿里安全發現這次攻擊的兩位研究員小哥聊了聊。
新型WiFi攻擊
此次阿里安全披露的WiFi問題主要是基于WPA/WPA2在防止重放攻擊的機制設計上存在的一些缺陷。
概括來說,就是用戶在使用公共WiFi時,攻擊者可以透過這一缺陷,精確地攻擊某個WiFi網絡中的某一個或某幾個用戶,導致用戶在瀏覽網頁時遭到釣魚,進而造成信息泄露或經濟損失。
那么,攻擊具體是怎樣執行的呢?阿里安全研究員候客告訴雷鋒網,整個攻擊過程主要分為兩個階段:
1、MOTS(Man-On-The-Side)“邊注入攻擊”階段
首先,要旁聽用戶和無線接入點的通信情況。通過自行設計的攻擊設備,可以任意收發802.11 MAC層數據包。一旦發現在同一頻道下有用戶在進行一些敏感行為時,比如用戶正在發送DNS的請求包,那么攻擊者在用戶發送特定DNS請求的時候立即啟動攻擊工具發出一個偽造的DNS response 包,從而讓用戶端收到偽造的 IP 。
在用戶訪問偽造 IP 后,也就達到了 DNS 劫持的效果。這一過程可最終引導用戶進入釣魚網站或者被篡改過的非https頁面,進而達到竊取用戶隱私數據的目的。值得注意的是,該攻擊過程無法被取證工具檢測到(詳細情況會在后面寫到)。
2、Side Relay“邊中繼攻擊”階段
加密網絡中一般會有一個防止重放攻擊機制,與TCP中IP協議的序列號不同,該機制的序列號是一直遞增的,并且每次遞增以后,它只接受比當前序列號大的包,如果序號小于當前的包,就會把包直接丟棄。
利用這一點,可以通過合法手段來抓取 AP (無線接入點)的數據包進行修改,使其成為序列號非常大的包,再投放給客戶端,在接下來很長一段時間里都會將AP發來的包丟棄。然而,此時攻擊者可以將 AP 發送過來的包進行修改,使其序列號大于用戶期望的序列號,然后重新發給用戶,此時用戶能夠正常接收修改過的數據包,這樣一來就成功實施了中間人劫持,攻擊期間可以對 AP 和用戶之間的流量進行隨意的修改。
黑產的“核武器”
“毫不夸張的說,黑產拿到它,就好比恐怖分子拿到了核武器,恐怖至極。”
侯客稱,攻擊一旦被利用,其針對的并非某些特定的 WiFi 芯片廠商,其范圍包括近乎任何具備 WiFi 聯網功能的電子設備,黑產可攻擊任一端的用戶。因此,這次攻擊實際是基于 WiFi 協議設計的一個缺陷。
此外,在驗證工具 80211Killer (侯客團隊自行設計的攻擊驗證工具)問世前,這種攻擊方式很難被發現。正如上面提到的,由于可以在不連接熱點的情況下執行攻擊,因此其攻擊過程無法被取證工具檢測到。
侯客解釋道:“我們的攻擊工具以旁聽的狀態來分析所有用戶連接的流量情況。因為執行此操作的前提在于知道目標 WiFi 網絡的密碼以及目標 WiFi 網絡的 ESSID (名稱)。通過使用截取對方連接 AP 的四次握手信息,我們可以推算出其臨時與路由器通訊加密用的密鑰,進而操控用戶的流量。和國外大多數 WiFi 研究中采用偽造一些 AP熱點的做法不同,前者不需要連到目標網絡,因此達到了很好的反取證效果。”
侯客告訴雷鋒網,在企業網絡中,黑產一旦拿到 WiFi 密碼即可劫持所有員工的網絡流量。視攻擊者目的而定,輕則企業員工個人隱私信息泄露,重則會導致企業的商業機密被盜;而對于個人來說,在餐廳、咖啡店、機場、酒店這類的公共場所中,攻擊者可以通過共享 WiFi 的渠道獲知該網絡的密碼,并可以劫持目前該 WiFi 環境下的單個或多個用戶流量,并以此將其導入釣魚網站進行財產竊取。
而無論攻擊者目的為何,總能逃過取證工具的檢驗,攻擊過程也就變得“來無影去無蹤”。此外,侯客還稱在具備攻擊工具的情況下該攻擊的成本幾乎為0,其成功率卻趨于100%。盡管在設備性能、網絡環境較差的情況下,這種攻擊的成功率會受到影響,但依然是傳統攻擊方式無法比擬的。
毋庸置疑,這樣的攻擊手法一旦被黑產利用,其過程對于個人、企業來說會造成極大危害。
如何避免遭受攻擊?
“嚴格意義上來講,絕對的 WiFi 安全是不存在的。”侯客稱,現在的 WiFi 使用的是單向認證機制,這就意味著網絡連接的雙方無法互相得到安全認證,相比蜂窩網絡其安全性更低。
那么,如何避免上述這樣的攻擊呢?
侯客告訴雷鋒網,用戶需要注意以下幾點:
1、保持良好使用wifi網絡的習慣,盡量避免使用公共 wifi ,使用4G網絡會更加安全;
2、盡量使用一些端對端可信認證的體系。比如說訪問一些網站。也有基于可信授權的那種訪問方式,比如說https,以此保證即使在網絡環境被污染的情況下仍不會被劫持;
3、產業鏈大力推進 WPA3 標準普及;
在侯客看來, WPA3 的普及仍需要很長一段時間。他說, WPA 和 WPA2 的標準開始起草是在 2004 年,直到現在已經有 15 年的歷史了。一般來說,在 WiFi 聯盟起草完成一個標準后,首先要各大 WiFi 芯片生產商進行推廣,再由硬件制造廠商大規模裝載,這一鏈路遠比想象中的長。
“毫無疑問, WPA3 標準為這種攻擊增加了難度——把認證和協商密鑰分成兩步,而不是通過 PSK 來生成一個臨時秘鑰。當然,理論上來說 WPA3 標準仍無法完全避免上述攻擊,但可以從很大程度上緩解,這是 WiFi 設計中無法避免的一個問題。”
